De boetes liegen er niet om: vier procent van de omzet met een maximum van twintig miljoen euro. En de raad van bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens, die straks streng gaat handhaven, hebben we het hier niet over bangmakerij. Hoe zorg je ervoor dat de kans op een boete of reputatieschade tot het minimum beperkt wordt? Door de bescherming van persoonsgegevens tot prioriteit nummer één te maken. De burger/patiënt/consument staat in de GDPR namelijk centraal.
Nu is die bescherming van persoonsgegevens niet nieuw; we hebben immers de Wet bescherming persoonsgegevens (Wbp) al. Maar er zijn wel een aantal punten waarop de General Data Protection Regulation (GDPR; algemene verordening gegevensbescherming (AVG)) verder gaat dan de Wbp op het gebied van it-security. De punten die in de praktijk de meeste impact zullen hebben, lichten we hier toe.
1. Meer inzage in persoonsgegevens
- Moet zijn of haar elektronische persoonsgegevens direct in kunnen zien.
- Mag zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener, energieleverancier et cetera.
- Heeft het ‘recht om vergeten te worden’.
Wat heeft dit voor gevolgen?
De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zul je data moeten classificeren. Welke data zijn persoonlijk en welk beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien. Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.
Belangrijke acties voor uw it-security:
- Dataclassificatie
- Het loggen van alle toegang
- Data-encryptie
2. Opvolgplicht en openbaarheid van datalekken
Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met goed georganiseerde it-infrastructuur. Wat moet je daarvoor regelen:
- Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart.
- Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging.
- Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen.
- Respons: reageer op eventuele incidenten.
Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen.
Wat zijn de gevolgen van openbaarheid?
Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken persoon. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie. Je moeten weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende? Zorg dan dat je een externe back-up hebt op dat gebied.
Belangrijke acties voor uw it-security:
- Zorg voor een proces van identificatie-preventie-detectie-respons.
- Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident.
- Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.
3. Privacy by design
Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.
Belangrijke acties voor uw it-security:
- Betrek alle afdelingen.
- Ga na welke data je wel/niet kunt koppelen aan een persoon.
- Kijk ook naar dataopslag en -vernietiging.
Tot slot
Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale it-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de raad van bestuur. Op strategisch niveau zal namelijk de risicoanalyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?
Bedenk bij het bepalen van de securitybeleid al welke acties nodig zijn om persoonsgegevens optimaal te beschermen.
Stefan van der Wal, security officer ON2IT B.V.
Dit is opnieuw een GDPR-verhaal met bangmakerij over boetes, dat is niet de essentie. Consumenten zijn in de luren gelegd door marketingtrucs en de wetgever dwingt nu voor hen transparantie af.
Als consument ben ik graag bereid info te delen als ik begrijp wat voor mij de waarde is:
“Mag ik <...> van je weten? Zodat ik je <...> kan bieden.”
Transparantie en een waardevoorstel, dat is GDPR. Dat is wat in de boardroom besproken wordt in iedere Digitale Transformatie.
Ik heb wel een opmerking over dit gedeelte:
—
“Als eerste de kern van de GDPR, de rechten van de burger. De burger:
Moet zijn of haar elektronische persoonsgegevens direct in kunnen zien.
Mag zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener, energieleverancier et cetera.
Heeft het ‘recht om vergeten te worden’.”
Dit is niet zoals ik de GDPR gelezen heb.
Je moet vastleggen wat je van iemand vastlegt, met welke reden en met wie je deze gegevens deelt (verwerkers). Hier moet een persoon expliciet toestemming voor geven en als het gaat om kinderen wijkt dit nog ietwat af. Dus geen “on-demand” inzage of iets dergelijks. Persoon heeft wel het recht om op te vragen wat er over hem is opgeslagen.
De persoon over wie het gaat moet dit expliciet accepteren, maar het is niet zo dat het een recht is van een persoon om “maatwerk” te verlangen. Dus wel bij verwerker A, maar niet bij verwerker B.
Ook het recht om vergeten te worden is zeker geen vast recht van ieder persoon in iedere situatie! Het gaat alleen om bepaalde omkaderde zaken waarin persoonsgegevens min of meer publiekelijk zijn zoals op openbare websites, fora en dergelijke. En zelfs daar kan het recht om vergeten gewoon overruled worden, bijvoorbeeld als het in publieksbelang is om vaststaand nieuwsfeit.
Jammer, want de rest is best te verteren.
@Maarten, bedankt voor je reactie. Voor mij een leermomentje. Zo had ik er nog niet naar gekeken en kan het dus ook. Thanks!!