Je zou denken dat IT-managers dolenthousiast zijn over GDPR, de nieuwe Europese privacywet die volgend jaar mei ingaat. Eindelijk een bakbeest van een reden om de toegang tot klantengegevens (en de beveiliging daarvan) helemaal dicht te timmeren. Nu móet de directie wel een flink budget vrijmaken voor alle benodigde software, licenties en awareness-cursussen voor medewerkers, wil het bedrijf niet geconfronteerd worden met torenhoge boetes. In de praktijk is het verhaal anders.
Uit onderzoek van Kaspersky blijkt dat een kwart van de Nederlandse IT-professionals niet zeker is dat hun organisaties volgend jaar voldoen aan de nieuwe eisen op het gebied van gegevensbescherming. In België is bijna een derde van de ondervraagden daar bang voor. Is dit negatief gedacht, of een realistische inschatting van de situatie? Om te voldoen aan de nieuwe wet moeten organisaties op een hele andere manier met privacygevoelige informatie omgaan. Niet zij, maar de klant/student/patiënt is de baas van zijn gegevens. Dat vereist een flinke omslag.
Terwijl IT-managers zich achter hun oor krabben en zich afvragen hoe ze dit omvangrijke project tijdig en met een goed resultaat kunnen afronden, is er ook een groep dat bij voorbaat alle verantwoordelijkheid afschuift naar de leveranciers. Uit een rondvraag bij de leden van De Vereniging Nederlandstalige SAP gebruikers blijkt dat 86 procent vindt dat softwareleveranciers na invoering van de GDPR moeten meebetalen aan boetes als zij hier direct of indirect debet aan zijn. Wat deze groep gevoeglijk negeert, is dat het goed inregelen van alle beveiliging de samenwerking van meerdere securitypartijen vereist. Maar ook dat werknemers continue en op zéér duidelijke wijze geïnformeerd worden hoe zij moeten omgaan met data. Bovendien is het belangrijk elk jaar de securitystrategie van de organisatie te toetsen op deugdelijkheid. Er zijn dus meerdere factoren in het spel.
Het belangrijkste onderdeel van de nieuwe wet is dat je als organisatie moet kunnen aantonen wat je met persoonsgegevens doet, hoe je deze (veilig) bewaard en wie er toegang toe hebben. Om dit voor elkaar te krijgen heb je bijvoorbeeld een Data Loss Prevention (DLP)-oplossing nodig, een firewall die netwerksegmentatie mogelijk maakt en een goede Identity management (IDM)-oplossing. IDM helpt op 5 belangrijke punten bij het voldoen aan de GDPR. Wat zijn die punten? De Autoriteit Persoonsgegevens (AP) heeft meerdere van deze punten handig op een rijtje gezet. Vijf van deze stappen zijn:
- Rechten van betrokkenen: Personen van wie je gegevens bewerkt krijgen meer privacyrechten. Het recht op inzage en het recht op correctie en verwijdering blijft bestaan, maar het recht op dataportabiliteit is nieuw. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen ontvangen én doorgeven aan een andere instantie.
Hoe werkt dit in de praktijk? Veel organisaties werken met meerdere informatiesystemen naast elkaar. Bij correcties of verwijdering van persoonsgegevens moeten alle systemen aangepast worden. De kans is groot dat er een database niet bijgewerkt wordt. Om te voldoen aan de nieuwe wet moet je aantonen dat je alle informatiesystemen hebt aangepast. Als je gebruik maakt van een goed Identity Management oplossing hoef je alleen de gegevens in het bronsysteem (bijvoorbeeld AFAS of EduArte) aan te passen. Zo weet je zeker dat in alle systemen dezelfde gegevens genoteerd staan of verwijderd worden. Ook in geval van dataportabiliteit ben je ervan verzekerd dat je de meest volledige, recente informatie doorstuurt naar de aanvrager.
- Overzicht verwerkingen: Breng in kaart welke persoonsgegevens je verwerkt, hoe en met welk doel je dit doet. Het is belangrijk niet alleen inzichtelijk te maken waar de data vandaan komt, maar ook met wie je de persoonsgegevens deelt. In geval van aanpassingen of verwijderingen moet je dit ook doorgeven aan deze derde partijen.
Hoe werkt dit in de praktijk? De meeste organisaties hebben tientallen toeleveranciers waarmee ze (gedeeltelijk) gegevens van hun klanten delen. Je kan de leveranciers die je regelmatig ingezet waarschijnlijk makkelijk noemen. Maar hoe zit het met de bedrijven waar je maar een keer per jaar zaken mee doet? Of personen die niet in dienst zijn, maar toch persoonlijke informatie onder ogen krijgen, zoals stagebegeleiders en dergelijke? Met een goed opgezet Identity Management systeem (IDM) weet je precies aan welke partijen je persoonlijke informatie doorgeeft. Omdat IDM een geautomatiseerd informatieproces realiseert, weet je ook met één druk op de knop wélke informatie wordt doorgegeven.
- Privacy by design & privacy by default: Privacy by design betekent dat wanneer je producten of diensten bedenkt, de persoonsgegevens altijd goed worden beschermd. In geval van Privacy by default moet je technische en organisatorische maatregelen nemen om ervoor te zorgen dat je bedrijf alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Hoe werkt dit in de praktijk? Waarschijnlijk heeft je organisatie al wat nodige voorbereidingen getroffen. Bijvoorbeeld door het vakje ‘Ja, ik wil aanbiedingen ontvangen’ op je website niet vooraf aan te vinken of door nieuwsbriefabonnees niet meer gegevens te vragen dan nodig is. Maar let op, de nieuwe wet vereist ook dat je alleen noodzakelijke persoonsgegevens in de benodigde interne en externe systemen verwerkt. Informatie over geloofszaken of echtelijke status van klanten hoeven bijvoorbeeld niet gedeeld te worden met een bedrijf die je mailcampagne verzorgd. Met IDM kan je vooraf bepalen welke data wél en welke data níet, in welk systeem gedeeld mag worden. Door middel van deze vooraf- ingestelde procedures kan je aantonen dat je voldoet aan dit onderdeel van de GDPR-wet.
- Meldplicht datalekken: De GDPR vereist dat je alle datalekken documenteert. Op basis van deze documentatie kan de AP kunnen controleren of de organisatie aan de meldplicht voldoet. De huidige Wet bescherming persoonsgegevens heeft alleen betrekking op de gemelde datalekken, de nieuwe wet beslaat alle datalekken.
Hoe werkt dit in de praktijk? Een datalek is niet altijd zichtbaar en heeft bovendien niet altijd consequenties. Als een werknemer een bestandje met klantengegevens naar zijn persoonlijke email stuurt om thuis uit te werken, is er in principe al sprake van een onveilige situatie. Verwijdert de werknemer na bewerking het bestand van zijn laptop, is er weinig aan de hand. Maar de kans is groot dat hij dit vergeet. Onopzettelijke datalekken zijn ook datalekken. De GDPR dwingt je maatregelen te nemen zodat bestanden niet zomaar gedeeld worden, dat kan bijvoorbeeld door het inzetten van data loss prevention-software (DLP). Ook is het belangrijk te weten wie wanneer toegang had tot welke bestanden. Als je Analytics Server inregelt (onderdeel van RealOpen IT’s IDM oplossing) kan je eenvoudig zien welke werknemer ingelogd heeft, welke data hij bekeek of bewerkte en welk device hij daarvoor gebruikte.
- Bewerkersovereenkomsten: als de organisatie gebruik maakt van derde partijen die (gedeeltelijk) toegang hebben tot persoonsgegevens van klanten of leerlingen, dan moeten deze partijen, ook wel ‘verwerkers’ genoemd, een Bewerkersovereenkomst tekenen. Denk hierbij aan cloud diensten of het administratiekantoor. Het onderteken van het document door de verwerker moet je zelf initiëren. De overeenkomst regelt dat eventuele privacy-incidenten die verwerker veroorzaakt, niet je organisatie, maar de verantwoordelijkheid van deze verwerker is.
Hoe werkt dit in de praktijk? Elke instantie moet de persoonsgegevens waarmee men werkt beveiligen tegen ongeoorloofde toegang. Een Identity Management (IDM) systeem valt onder de definitie van ‘verantwoordelijk’ als deze binnen het domein van organisatie draait. Daarentegen kan een IDM-systeem ook als ‘bewerker’ worden gezien als het geplaatst is buiten de directe organisatie, zoals bijvoorbeeld bij een SaaS-oplossing. Om ervoor te zorgen dat voor alle partijen de verplichtingen en verantwoordelijkheden duidelijk zijn, is het belangrijk een bewerkersovereenkomst te sluiten. In die overeenkomst zijn alle eisen en plichten vastgelegd waaraan de bewerker moet voldoen. Het gaat hierbij niet alleen om fysieke en technische maatregelen, maar ook over rapportages over compliance en incidenten, zoals datalekken. RealOpen IT erkent het belang van de Bewerkersovereenkomst en brengt deze overeenkomst actief onder de aandacht bij haar klanten.
