Op 25 mei 2018 is het zover: de GDPR, in Nederland beter bekend als de Algemene Verordening Gegevensbescherming (AVG), treedt in werking. Computable-experts Bram Haasnoot, Jeroen Renard en Fred Oberholzer geven hun visie op de nieuwe regelgeving én voorzien u van tips over hoe hier met uw organisatie mee om te gaan.
De sleutel en het slot
Bram Haasnoot, directeur bij Realopen IT:
‘Bij de GDPR (General Data Protection Regulation) draait alles om inzicht: hoe en waar worden klantengegevens bewaard en wie heeft er toegang toe? Om te kunnen voldoen aan de GDPR, moeten bedrijven precies weten hoe hun dataprocessen lopen. Pas als de organisatie duidelijk in kaart heeft welke informatie waar is opgeslagen en wie toegang heeft tot die data, kan het beginnen met het gecontroleerd afschermen van de gegevens. Dan komt identity management (idm) om de hoek kijken. GDPR en idm zijn logischerwijs met elkaar verbonden, zoals een sleutel en het slot. Met idm kan je aangeven welke werknemer bij welke gegevens mag, en dus ook wie níet. Dat is een basisvorm van databeveiliging.
Maar idm biedt meer. Organisaties werken vaak met verschillende informatiesystemen naast elkaar. Bij correcties of verwijdering van persoonsgegevens moeten alle systemen aangepast worden. De kans is groot dat er een database vergeten wordt, en dus niet bijgewerkt is. Om te voldoen aan de nieuwe wet moet je aantonen dat je alle informatiesystemen hebt aangepast. Dat lijkt veel werk, maar als je gebruikmaakt van een goede idm-oplossing, dan hoef je alleen de gegevens in het bronsysteem aan te passen. Zo weet je zeker dat in alle systemen dezelfde gegevens genoteerd staan of verwijderd worden. Als een klant zijn recht op data-portabiliteit doet gelden, ben je ervan verzekerd dat je de meest volledige, recente informatie doorstuurt naar de aanvrager.
De nieuwe privacywet zorgt er ook voor dat organisaties duidelijk moeten hebben met wie ze persoonsgegevens delen. Denk aan de boekhouder of een bedrijf dat marketingmailings verstuurt. Instanties en bedrijven moeten in kaart brengen welke persoonsgegevens worden verwerkt, hoe en met welk doel dit wordt gedaan. In geval van aanpassingen of verwijderingen moet dit dus ook aan de boekhouder of het marketingbedrijf worden doorgegeven. Maar hoe zit het met de bedrijven waar je maar een keer per jaar zaken mee doet? Of personen die niet in dienst zijn, maar toch persoonlijke informatie onder ogen krijgen, zoals stagebegeleiders op scholen?
Met een goed opgezet idm-systeem weet je precies wie aan welke partijen persoonlijke informatie doorgeeft. Omdat idm zorgt voor een geautomatiseerd informatieproces weet je ook met één druk op de knop wélke informatie wordt gedeeld. Steeds meer bedrijven beseffen dat idm de sleutel is tot het voldoen aan de GDPR. 2018 wordt dan ook een interessant jaar voor idm-specialisten.’
Technische tools maken je nog niet GDPR-proof
Jeroen Renard, corporate security officer bij Odin Groep/Previder:
‘Elk bedrijf roept tegenwoordig dat hun dienstverlening veilig en conform de GDPR-wetgeving is. Formeel zeggen ze daar niets fout mee. Toch betekent dit niet dat hun klanten automatisch ook GDPR-proof zijn. Privacybescherming raakt namelijk de hele keten van oplossingen, personen en partijen die met persoonsgegevens werken. Technische tools kunnen zeker helpen, maar de sterkte van de keten wordt nog steeds bepaald door de zwakste schakel.
Privacybescherming gaat verder dan de technische beveiliging van persoonsgegevens. Het verwerken van privacygevoelige data draait namelijk om allerlei processen en interacties. Die worden voor een groot deel gefaciliteerd door it-oplossingen, maar zeker niet volledig. Daarom kun je nooit volledig vertrouwen op technische oplossingen, hoe zorgvuldig je die ook hebt uitgekozen. Beveiliging moet goed geregeld zijn; van je netwerk tot elk willekeurig end-point. En dat laatste is vaak het zwakste punt, omdat dit alle apparaten zijn waarmee gebruikers interactie hebben met een bedrijf, van laptops en pc’s tot tablets, smartphones en apps. En dan is er nog de mens, die in de praktijk voor de meeste datalekken verantwoordelijk is. GDPR-compliance is dus afhankelijk van een complex web van processen, techniek en menselijke interacties. Maar dat gezegd hebbende, kan het geen kwaad om even kort een paar technische tools te belichten.
Apparaatbeveiliging: Leveranciers van zakelijke computers leveren deze meestal met diverse beveiligingsmogelijkheden, inclusief tools om ze te beheren. Denk aan een vingerafdrukscanner, harddiskencryptie en opties om een laptop van afstand te wissen. Verdiep je in deze tools en laat ze niet ongebruikt. Als je gebruikers naast hun wachtwoord vraagt om ook een vingerafdrukscan te gebruiken, is een laptop direct met multifactor-authenticatie beschermd. Voeg daar harddiskencryptie aan toe, en het eventuele vermissen van de laptop resulteert ineens niet meer in een datalek.
Gegevensbeheer: Software en appliances voor gegevensopslag en back-ups worden steeds intelligenter. Zo kunnen ze je een helder overzicht geven van op welke fysieke locatie (SAN, NAS, cloud) bepaalde gegevens precies zijn opgeslagen, helpen bij het versleutelen van data, maar ook bij het veilig wissen ervan. Dit laatste is een belangrijk aspect van de GDPR, waar niet iedereen bij stilstaat. Dit heet ook wel ‘disk sanitization’, een methode om gegevens op harde schijven meerdere malen fysiek te overschrijven met willekeurige data. Hiermee wordt voorkomen dat er door onbevoegden privacygevoelige informatie op oude harddisks is te herstellen.
Applicatiebeveiliging: De beveiliging van bedrijfssoftware is voor een groot deel de verantwoordelijkheid van de leverancier. Die levert als het goed is regelmatig updates en patches die nieuwe mogelijkheden toevoegen, bugs oplossen en beveiligingslekken dichten. Maar die updates moeten uiteraard wel geïnstalleerd worden, en daar gaat het vaak mis. Het automatisch of regelmatig installeren van updates is daarom sterk aan te raden. Cloudapplicaties maken dit een stuk gemakkelijker voor bedrijven, omdat die software centraal wordt bijgewerkt. Ook zien we hier steeds meer aandacht voor security, zoals de ondersteuning van multifactor-authenticatie en, zoals bijvoorbeeld bij Microsoft 365, een geïntegreerde security-scan.
End-point security: Ten slotte is er de zogeheten end-point security. Dit gaat verder dan de klassieke virusscanner en firewall op de pc. Moderne security-software kijkt op een intelligente manier naar mogelijke bedreigingen op computers, servers of het netwerk. Daarnaast wisselt de end-point security-software op de pc’s en laptops ook informatie uit met de centrale firewall, zodat er direct is in te grijpen als één systeem met malware besmet raakt. Voor een optimale beveiliging van je netwerk, systemen en gegevens kies je dus bij voorkeur voor een geïntegreerde security-oplossing met een geavanceerde centrale firewall en end-point security-software voor je systemen.’
GDPR en blockchain
Fred Oberholzer, privacy specialist en consulting partner bij Wipro:
‘De GDPR betekent dat vanaf 25 mei dezelfde privacywetgeving geldt in de hele Europese Unie. 2017 stond nog volledig in het teken van het creëren van bewustzijn bij organisaties. Ondernemingen die nog geen initiële assessment hebben uitgevoerd, lopen uit het ‘time frame’ en verkeren in grote problemen. Nieuw is dat de reikwijdte van de GDPR wordt uitgebreid tot buiten het grondgebied van de Europese Unie. Als een ‘betrokkene’ in Nederland online iets in de Verenigde Staten koopt, betekent het dat de verwerking van persoonsgegevens die daarvoor nodig is, wordt beheerst door de GDPR. Er is sprake van extraterritoriale werking.
Het tijdig voldoen aan de GDPR is dé uitdaging voor 2018 en verder. Er is geen ontsnapping mogelijk: ‘wet is wet’ in alle 28 lidstaten en zelfs daarbuiten. De bescherming van natuurlijke personen dient technologieneutraal te zijn en mag niet afhankelijk zijn van de gebruikte technologieën. GDPR en blockchain, als basistechnologie, lijken daarom op het eerste gezicht voor elkaar bestemd te zijn. De belofte is groot. Sommige startups proberen met investeringen een nieuwe businessmodel te bouwen op deze belofte. Blockchaintechnologie zorgt immers voor de vereiste controleerbaarheid (‘audibility’) en ondersteunt ‘tracking en tracing’. De in de GDPR vastgelegde individuele rechten om persoonsgegevens te wijzigen en/of te vernietigen staan echter op gespannen voet met de principes van blockchain, waar eenmaal gevalideerde gegevens die zijn vastgelegd niet meer kunnen worden gewijzigd, laat staan vernietigd. Blockchains zijn er inmiddels in veel soorten en smaken. Sommige platforms zijn openbaar en ‘censorproof’, andere zijn gebaseerd op toestemming (‘permission based’) en daardoor minder transparant. Kortom: de meerwaarde om GDPR te gebruiken in combinatie met blockchain moet nog worden aangetoond. Voor GDPR en blockchain geldt: het is ‘geen moetje, maar eerder een toetje.’
(Deze bijdrage is afkomstig uit Computable Magazine, editie 01/2018.)
Europese dag van de gegevensbescherming
Sinds een aantal jaren geldt 28 januari als de Europese dag van de gegevensbescherming. De Europese Commissie schrijft in een verklaring ‘dat de bescherming van persoonsgegevens in Europa een grondrecht is dat we moeten koesteren.’
Volgens de commissie wordt 2018 een belangrijk jaar voor gegevensbescherming in Europa vanwege de invoering van de GDPR. In haar verklaring stelt zij het volgende: ‘De gemoderniseerde gegevensbeschermingsregels van de EU worden in mei 2018 van kracht. De nieuwe regels voldoen aan de eisen die we in onze digitale wereld aan gegevensbescherming stellen.
Nu de nieuwe wetgeving over nauwelijks meer dan honderd dagen van kracht wordt, heeft de Commissie richtsnoeren opgesteld voor de nationale gegevensbeschermingsautoriteiten, overheden en bedrijven, zodat deze zich op de grote dag kunnen voorbereiden. De Commissie wil er bovendien voor zorgen dat de Europese burgers hun rechten goed kennen.
Europeanen kunnen nu nieuwe rechten doen gelden. Dankzij het recht om duidelijk en begrijpelijk te worden geïnformeerd, zullen bedrijven die om onze toestemming vragen, zich niet meer kunnen verschuilen achter omslachtig juridisch taalgebruik. Dankzij dataportabiliteit, het recht om je gegevens over te dragen van de ene naar de andere dienstverlener, zul je gemakkelijker naar een andere aanbieder kunnen overstappen. Bestaande rechten, zoals het recht om te worden vergeten, worden verduidelijkt.
Betere gegevensbeschermingsregels betekenen ook dat je online beter wordt beschermd. De helft van de Europese internetgebruikers maakt zich zorgen over misbruik van persoonsgegevens. Als je persoonsgegevens op straat komen te liggen door een cyberaanval op een bedrijf dat over je gegevens beschikt, moet dat bedrijf de autoriteiten en gebruikers binnen 72 uur inlichten.
Een belangrijk nieuw punt is dat ervoor wordt gezorgd dat persoonsgegevens ook over de grenzen heen beschermd blijven. Als een bedrijf in Europa gegevens verzamelt en die in het buitenland verwerkt, gelden ook daarvoor de Europese normen. Dat is van essentieel belang in deze mondiaal steeds meer verbonden wereld.
De Europese Unie loopt op wereldniveau voorop met de bescherming van persoonsgegevens. We zijn vastbesloten om onze waarden op het gebied van gegevensbescherming ook internationaal te promoten. Onze economieën zijn sterk afhankelijk van internationale gegevensstromen. In 2016 hebben we met de Verenigde Staten afspraken gemaakt over het privacyschild, dat voor betere bescherming van het dataverkeer met de VS zorgt. We praten nu met Japan om de laatste hand te leggen aan de formele stappen die het vrije verkeer van persoonsgegevens tussen de EU en Japan mogelijk moeten maken. Deze uitwisseling van gegevens voldoet volledig aan onze normen op het gebied van gegevensbescherming en faciliteert tegelijkertijd het handelsverkeer.
We zijn vastbesloten ervoor te zorgen dat modernisering en innovatie de veiligheid, het handelsverkeer en de bescherming van persoonsgegevens niet in de weg staan, zowel op Europees als op mondiaal niveau.’
Bij GDPR-compliance gaat het om veel meer dan Identity-management, beveiliging of Blockchain-mogelijkheden. De nieuwe GDPR-wetgeving heeft invloed op de (bestuurs)aansprakelijkheid, accountability, reputatie en bewustzijn van de organisatie. De nieuwe wetgeving dwingt bedrijven om aantoonbaar inzicht te hebben in de gegevensverwerkingen, de privacy-risico’s en de genomen technische- en organisatorische maatregelen. Dit betekent dat je eerst een inventarisatie doet van de verwerkingen in je organisatie. Welke persoonsgegevens worden er verwerkt, wat is het doel, wat doen we er precies mee, wie hebben er toegang toe, hoe lang bewaren we ze, etc. etc. etc. Je kijkt dan ook naar het niveau van bewustzijn van het personeel, welke derde partijen er worden gebruikt (Bijv. salarisverwerkers,hosting partijen, etc.) en of daar de juiste (GDPR-compliant) verwerkersovereenkomsten mee zijn afgesloten. Ook wordt er gekeken naar de manier waarop de persoonsgegevens worden beveiligd/beschermd, welke technische security maatregelen er zijn genomen). Na de inventarisatie kun je een risico analyse uitvoeren. Een goed opgeleide FG (Functionaris Gegevensbescherming) maakt dan een beoordeling van de juridische grondslag van de verwerkingen. Verwerkingen met extra groot risico behoeven extra onderzoek. Na deze risicoanalyse bepaal je de maatregelen die je moet nemen (technische- én organisatorische maatregelen!) om te voldoen aan de GDPR wetgeving. Alle informatie uit de voorgaande stappen dient opgenomen te worden in een Privacy-administratie (documentatieplicht). Na het doorvoeren van die maatregelen is de compliance bereikt en zul je die moeten borgen middels regelmatige evaluatie. Deze praktische RI&E-Privacy insteek heeft al vele bedrijven geholpen bij de voorbereiding op de GDPR. Duidelijke stappen met elk een eigen, afgeschermd resultaat.