Weet jij precies wat de Wet bescherming persoonsgegevens (WBP) inhoudt? Bij veel bedrijven die persoonsgegevens bewaren, blijkt men niet helemaal op te hoogte van de juiste manier om deze data te verwerken en te bewaren. En dan gaat het wel eens fout. In Nederland en binnen de Europese Unie (EU) zijn daarom veranderingen op komst rond de bescherming van persoonsgegevens. Wat kan je als bedrijf of instelling doen om klaar te zijn voor de nieuwe wetten?
In de media verschijnen regelmatig verhalen over bedrijven die niet zorgvuldig omgaan met de persoonsgegevens die zij verzamelen en beheren. De Tweede Kamer streeft er daarom naar het privacyniveau te verbeteren. Daartoe werd deze maand een voorstel aangenomen om bij wet te regelen dat bedrijven en instanties een datalek moeten melden bij het College bescherming persoonsgegevens (CBP) en aan alle betrokkenen. Eindelijk: er mag niets meer onder het tapijt geveegd worden. Ook op Europees niveau verandert er veel. Bijvoorbeeld door de Europese Privacy Verordening. Deze zorgt er vanaf volgend jaar voor dat iedereen het recht krijgt om ‘vergeten te worden’ en dat alle bedrijven de bescherming van persoonsgegevens aantoonbaar op orde moeten hebben.
Veel werk aan de winkel
Dat de EU en de Nederlandse regering privacykwesties willen aanpakken is mooi, maar een onderzoek van PwC laat zien dat er nog veel werk aan de winkel is. De wil is er bij veel bedrijven, maar vaak blijken zij helemaal niet klaar te zijn voor de nieuwe wetten. Slechts 17 procent van de ondervraagden heeft een privacy officer benoemd. Bij de meerderheid, 82 procent, moet men nog een procedure bedenken om aan de eisen te voldoen rond het ‘recht om vergeten te worden’. Hopelijk onderzoekt PwC volgend jaar hetzelfde en ondervindt dan dat bedrijven onder druk van de EU de boel wél op orde hebben. Maar dat zal niet eenvoudig gaan.
Als je de berichtgeving leest over persoonsgegevens die per ongeluk op straat liggen, zou je er als brave burger bijna voor kiezen nergens meer gegevens achter te laten. Helaas is dit in dit internettijdperk slecht haalbaar. Veel informatie en producten zijn online schijnbaar gratis te krijgen, maar je moet er wel allerlei persoonlijke en vertrouwelijke gegevens voor opgeven. Bovendien is ‘internet’ tegenwoordig overal aanwezig. Wie geen gegevens wil delen, moet bijvoorbeeld zelfs de energiemeter uit het nieuwbouwhuis slopen. Volgens de brancheorganisaties Netbeheer Nederland en Energie Nederland kunnen ‘klanten met een slimme meter hun gegevens bekijken via websites en apps. Die moeten verifiëren of de klant ook echt op een adres wonen. Dat is vaak al mogelijk met alleen een combinatie van de naam en een telefoonnummer, en soms eventueel een geboortedatum. Die gegevens zijn van veel mensen gemakkelijk te achterhalen.’ Zo kan een inbreker met een beetje webkennis eenvoudig zien wie er in de villabuurt op vakantie is.
Om burgers te beschermen worden er nieuwe EU-privacyregels opgesteld waar iedereen zich aan moet houden. Maar het is naïef om te denken dat je online alles dicht kan timmeren met regels en wetgevingen. Er zijn altijd bedrijven én personen die laks met gegevens omgaan. Bedrijven kunnen binnenkort flink beboet worden. Dat betekent dat een bedrijf niet alleen een privacy officer moet benoemden en het bewaren en beveiligen van persoonsgegeven aantoonbaar op orde moet hebben. Het moet er ook voor zorgen dat werknemers zo min mogelijk de ruimte krijgen om (ongewild) persoonsinformatie te ‘lekken’. Met oplossingen voor data loss prevention (dlp) is een goede eerste stap. Bedrijven dienen er ook voor te zorgen dat alleen de juiste personen bij de juiste data kunnen komen. Daarom is identity en access management (iam) ook een onmisbaar onderdeel van het proces dat draait om databeveiliging.
Volution-platform
Een van de bedrijven die laten zien wat er mogelijk is, is Databyte Business Solutions, leverancier van het platform Volution voor het onderwijs. Leerlingen, docenten en ouders hebben allen toegang tot bepaalde (cloud)applicaties, gebaseerd op hun ‘identiteit’. Zo werkt het: het identity management (idm)-systeem is de ‘link’ tussen de administratieve (hrm)-systemen van de scholen, en het Volution-onderwijsplatform in de Microsoft Azure-cloud. Deze link houdt in dat leerlingen, docenten en ouders op een veilige wijze accounts krijgen toegewezen waarmee ze in Volution kunnen inloggen. De toegang tot het Volution platform is beveiligd door de access manager (am)-toepassing; de ‘poortwachter’ voor iedereen die naar binnen wil.
De verantwoordelijkheid voor wie toegang krijgt ligt dus duidelijk daar waar dit hoort te liggen, namelijk bij de afdeling hrm en niet bij it. De combinatie van idm en am zorgt er voor dat ‘wie je bent bepaalt wat je mag’ werkelijkheid is. Heb je je accountbeheer op orde, dan ligt hier ook de sleutel tot het correct invulling kunnen geven aan de Wet bescherming persoonsgegevens (WBP). Met idm en am wordt de basis gelegd voor correcte informatiebeveiliging, en is daarom een belangrijk onderdeel van een (data)securitybeleid.
Dit is wat Databyte met het Volution-platform voor het onderwijs goed begrepen heeft. Als je deze oplossing vertaalt naar het zakelijk model is er in Nederland nog veel werk aan de winkel. Dat de nieuwe EU wetten en Nederlandse regelgeving een omslag eisen in de manier waarop bedrijven omgaan met privacygevoelige gegevens is duidelijk. Het is nu aan het bedrijfsleven om ervoor te zorgen dat persoonsgegevens niet alleen correct bewaakt en bewerkt worden, maar dat processen ook zo worden ingericht dat werknemers alleen bij persoonsgegevens kunnen als ze daar toestemming voor hebben. Dat wordt een mooie taak voor de nieuwe chief privacy officer.
Beste Bram,
Je kaart een aantal zorgen terecht aan. Wat ik mis is hoe het in elkaar past. Als klant van een energiemaatschappij is het moeilijk om ‘vergeten’ te worden. Als ouder van een leerling is het ook niet praktisch om door de school vergeten te worden, maar in de praktijk lijkt dat soms wel te gebeuren…
Jouw oplossing beschrijft een situatie waarbij we klant zijn en niet vergeten willen/kunnen worden. Dan helpt het inderdaad als IAM goed ingericht is. Maar om vervolgens te stellen dat accountbeheer op orde alle privacyproblemen oplost en het autorisatieprobleem bij de privacy officer legt, is kort door de bocht. Was het maar zo simpel! Er moet bij IT (in bedrijf en cloud) nog aardig wat goed geregeld zijn, en dan ben je nog niet klaar.
Volution lijkt een interessant platform te zijn. Doe het niet te kort door het als een oplossing voor ‘alles’ te presenteren.
Lex Borger
Het gaat natuurlijk niet alleen om de wetgeving maar wat de wetgever er mee doet.
Zo heeft Oostenrijk een van de beste wetgevingen op gebied van privacy maar helaas een “Datenschutz Kommission” die door de EU al op de vingers getikt is omdat deze niet onafhankelijk is en onder kontrole staat van een bepaalde politieke partij. Zaken worden daar niet tijdig afgehandeld, na 4 jaar lopen bepaalde zaken nog steeds.
Oostenrijk heeft bijvoorbeeld de verplichting van een “databreach notification” (melden aan CBP en aan alle betrokkenen) alleen schijnt de “Datenschutz Kommission” niet te begrijpen wat dat betekent. Een databreach-notification wordt als schending van de privacy aangenomen . . .
Er is dus meer nodig als wetgeving zoals Oostenrijk toont, tijdige afhandeling van zaken en een gewogen oordeel of een zaak aangenomen wordt door een onafhankelijk staatsorgaan.