De nieuwe privacy wetgeving (AVG), Wat u moet doen en hoe? – Expertvisie Hans Kortekaas
De nieuwe privacy wetgeving (AVG), Wat u moet doen en hoe?
De bestaande regels rondom de bescherming van persoonsgegevens zijn aangescherpt met de invoering van de Algemene Verordening Gegevensbescherming (AVG), in het Engels GDPR genoemd (General Data Protection Regulation). Iedere organisatie krijgt met de AVG te maken, omdat vrijwel iedere organisatie persoonsgegevens van klanten en/of werknemers verwerkt. Op 25 mei 2018 moet de verwerking van persoonsgegevens aan de AVG voldoen. In dit artikel zijn de belangrijkste gevolgen voor de organisatie samengevat en wordt ook een handvat gegeven om de databeveiliging goed in te richten.
Om uw organisatie aan te passen naar de nieuwe privacywetgeving zult u rekening moeten houden met de volgende drie aspecten:
- juridische / administratieve
- organisatorische
- technische
Juridische / administratieve aspecten
Wat is zorgvuldige verwerking?
Uitgangspunt onder de AVG blijft de verplichting om persoonsgegevens zorgvuldig en in overeenstemming met de wet te verwerken. De AVG schept een aantal verplichtingen bij het verwerken van persoonsgegevens die hierna op hoofdlijnen zullen worden besproken.
Registratie- en documentatieplicht
Alle organisaties zijn straks verplicht om aan de toezichthouder, de AP, te kunnen laten zien dat ze “privacy (AVG) compliant” zijn. Een organisatie zal met documenten moeten kunnen aantonen dat passende maatregelen zijn genomen. Belangrijk hierbij zijn een bedrijfsbreed informatiebeveiligingsbeleid waarbij aandacht is voor de technische (bijv. backup & restore plan, identity & access management) maar ook de organisatorische (menskant) van de risico- beheersing (bijv: security awareness, Incident response procedure, en Bring Your Own Device beleid).
Deze registratie- en documentatieplicht geldt dus ook voor uw personeelsadministratie en klantenadministratie!
Tot slot dient u aan “privacy by design” en “privacy by default” te doen bij het ontwerpen van software. Hetgeen inhoudt dat (web-)formulieren, invulmenu’s etc. privacybeschermend staan ingesteld en geen overbodige informatie gevraagd wordt (data minimalisatie).
Verwerkersovereenkomst en verwerkingsregister
Wanneer uw organisatie gebruik maakt van een andere partij bij de verwerking van persoonsgegevens, zoals een salarisverwerker, een administratiekantoor of een hosting provider voor opslag van gegevens in de cloud dan is het sluiten van een verwerkersovereenkomst verplicht. Een verwerkersovereenkomst wordt gemaakt tussen de verantwoordelijke (werkgever) en de verwerker (salarisverwerker, administratiekantoor etc.) waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Ook moet de organisatie (en elke verwerker van persoonsgegevens) een verwerkingsregister bijhouden. Hierin staat onder andere: de contactgegevens van de verantwoordelijken, verwerkers en naam van de FG (DPO), de doeleinden van de verzameling en de categorieën van de persoonsgegevens; de betrokkenen en de ontvangers. Ook bevat het register een algemene beschrijving van de beveiligingsmaatregelen
Inzagerecht van o.a. werknemers en klanten:
– om hun dossier in te zien;
– een kopie van hun dossier in een standaardformaat te ontvangen (bijv als pdf-bestand);
– hij/ zij heeft het recht om begrijpelijke informatie te krijgen over het hoe en waarom van de verwerking, zijn/haar rechten en het privacybeleid van de organisatie;
– te allen tijde gratis de gegevens die op hen betrekking hebben inzien en, indien nodig, aan laten passen of te wissen (bijvoorbeeld vanwege het recht op vergetelheid).
De organisatie is straks, op straffe van een boete, verplicht alle gevraagde informatie te verschaffen.
Organisatorische aspecten
Bij grote organisaties is er veel aandacht voor privacy, veel organisaties stellen een privacy officer aan. Maar de richtlijnen zijn ook toepasbaar voor het MKB. Daar zien we vaak dat er minder aandacht is voor hoe om te gaan met privacy. Deuren van kantoren staan open, USB-sticks slingeren rond. Er vindt veel informatieuitwisseling plaats tussen bedrijfsmails en privémails, soms gaat zelfs alles via privémails. Het bedrijf is klein begonnen en groot geworden, maar eigenlijk weet men niet hoe ICT werkt.
Privacy is met name een gedragsaspect, een bewustzijn dat moet worden gekweekt bij ieder individu binnen de organisatie. Als de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels, kunnen zij inschatten wat de impact is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
Uw afdeling personeelszaken speelt een cruciale rol in het proces. Zij heeft immers tot taak om de normen binnen de organisatie vast te leggen in het beleid en daarover te communiceren. Methodes om dat te doen zijn bijvoorbeeld: e- learning, social engineering campagnes en workshops.
Technische aspecten
Het treffen van passende technische en organisatorische maatregelen op basis van een risicoanalyse stelt de verantwoordelijke in staat om passende maatregelen te treffen die een passend beveiligingsniveau garanderen. De vraag die onmiddellijk rijst is welke technische beveiligingsmaatregelen zijn passend, en wat is goed functionerende beveiliging?
Gegevensbeveiliging kan worden onderverdeeld in verschillende categorieën. Omdat de gehele keten zo sterk is als de zwakste schakel verdienen alle categorieën aandacht:
1 – gebruikersbeveiliging
2 – netwerk- en toegangsbeveiliging
3 – applicatiebeveiliging
4 – gegevensbeveiliging
1 gebruikersbeveiliging
De gebruiker is de zwakste schakel in de cyber security. Veel werknemers zijn zich totaal niet bewust van risico’s. 45% van de datalekken bij de AP komt voort uit personen die weleens een e-mail met gevoelige inhoud verstuurden naar de verkeerde persoon. De bewustwording neemt toe wanneer er regelmatig aandacht is voor het onderwerp waarbij heel specifiek voorbeeldgedrag positief wordt belicht. Elke werknemer moet dus weten: Wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?
2 netwerk- en toegangsbeveiliging
Netwerk- en toegangsbeveiliging bestaat uit het geheel van maatregelen met als doel om de veiligheid van de zaken op het netwerk en de internettoegang alswel het functioneren van het netwerk zelf te verzekeren. Hacking, malware en phishing vormen 6% van de datalekken bij de AP.
Netwerk- en toegangsbeveiligingsmaatregelen worden, vaak om de kosten te drukken, samengevoegd in ‘met daarin, Om de beveiliging te monitoren kan gebruikt gemaakt worden van een Security Operations Center wat de ICT- infrastructuur actief monitort en bewaakt en verdachte activiteiten en potentiële dreigingen welke de beschikbaarheid, integriteit en vertrouwelijkheid van uw bedrijfsprocessen en bedrijfsgegevens kunnen aantasten signaleert. Ook kan gedacht worden aan een zogenaamde Unified Threat Management oplossing. Hierin kunnen meerdere beveiligingsmnaatregelen worden opgenomen zoals: (draadloze) netwerk toegangscontrole, anti-spam technieken, web filter, anti-virus, spyware, firewall, VPN, sterke authenticatie of intrusion prevention.
3 applicatiebeveiliging
Maatregelen die je kunt nemen zijn onder andere: applicatie firewall, wasstraat tegen DDoS-aanvallen, malware detectie, bewustzijnstrainingen, sterke authenticatie, encryptie/decryptie, maar bijvoorbeeld ook een kwetsbaarheidsanalyse en een penetratietest.
4 gegevensbeveiliging
Applicatiebeveiliging betekent dat applicaties worden beschermd tegen externe bedreigingen door het gebruik van software, hardware en procedurele methoden. Applicaties zijn steeds vaker via netwerken te benaderen en zijn daardoor kwetsbaar voor een groot scala aan bedreigingen.
Gegevensbeveiliging in brede zin bevat alle maatregelen die een organisatie kan nemen om haar bedrijfsinformatie te beveiligen. In de context van de AVG moeten derhalve ook de niet-digitale zaken op orde zijn. Gedacht kan worden aan: voorkomen dat draagbare gegevensdragers onbeheerd rondslingeren, de bescherming van ruimte waarin servers staan (brandinstallatie, goede afsluiting, toegangscontrole) , of onderhoud van de gegevensdragers. Maar ook de opslag, het delen, het mailen en opslaan van data vindt vaak onveilig plaats. 14% van de datalekken bij de AP komt voort uit het verliezen, kwijtraken of diefstal van apparaten, draagbare gegevensdragers en/of papier.
Maatregelen die je kunt nemen zijn o.a.: encryptie, veilig datadelen, mobile device management, aangetekend en verzegeld emailen, backup en herstel en medewerkerbewustzijn.
Hoe ziet een stappenplan eruit om te voldoen aan de Privacywet?
1 maak iemand verantwoordelijk voor de bescherming van persoonsgegevens en breng de verwerkingen van persoonsgegevens in kaart waarvoor u verantwoordelijk bent door het aanleggen van een verwerkingsregister
2 maak een risico analyse in de vorm van een GAP-analyse (waardoor u weet hoeveel u moet doen) of een PIA Privacy Impact Assessment uit te voeren (waardoor u weet wat privacyrisico’s zijn).
3 update uw privacybeleid en pas privacy by default, privacy by design en dataminimalisatie toe
4 houd uw privacy- veiligheidsbeleid tegen het licht en implementeer tools om de rechten van betrokkenen te respecteren
5 leg verantwoordelijkheid vast en creëer bewustzijn binnen de organisatie (awareness) maar ook met uw partners die persoonsgegevens verwerken waarvoor u verantwoordelijk bent (verwerkingsovereenkomsten)
6 implementeer de technische adviezen van de GAP analyse aangaande de digitale veiligheid.
Wilt u meer weten over cybersecurity en privacy in het kader van de AVG ?
ID Control verzorgt kostenloze workshops omtrent de AVG in het gehele land, waarvoor u zich kunt aanmelden via privacy@idcontrol.com.Tevens kunt u hier het whitepaper “De nieuwe privacywet ofwel AVG. Hoe er aan te voldoen?” downloaden door hier te klikken.
