General Data Protection Regulation

Transcriptie

1 Whitepaper General Data Protection Regulation Versie 1.0 maart 2018 General Data Protection Regulation In mei 2016 heeft de Europese unie een nieuw raamwerk doorgevoerd voor regulering van het gebruik en managen van persoonsgegevens. Deze Europese wetgeving wordt de General Data Protection Regulation (GDPR) genoemd. In Nederland is dit ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Het vervangt de eerdere Europese wetgeving en dient als aanvulling op nationale wetgevingen op dit gebied. Hoewel het raamwerk officieel in 2016 is doorgevoerd, is er een overgangstermijn van 2 jaar. Dit betekent dat op 25 mei 2018 alle bedrijven moeten voldoen aan de nieuwe wetgeving. De wetgeving heeft als doel om rechten van individuen te vergroten ten aanzien van het gebruik van hun persoonsgegevens. Dit betekent grotere verantwoordelijkheden en verplichtingen voor organisaties. De GDPR gaat over persoonsgegevens. De GDPR definieert dit als volgt: Alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Bijvoorbeeld; namen, foto s, adressen, bankgegevens, posts op social media, IP-adressen, etc. Desondanks blijft het een definitie die ruimte laat tot interpretatie. Hier zullen in de toekomst ongetwijfeld nog discussies over ontstaan. Niemand weet immers hoe de technologische, sociale en commerciële ontwikkelingen onze toekomst zullen vormen. Behalve Europese organisaties zijn alle organisaties die zaken doen met de EU, ongeacht waar deze gevestigd zijn, onderhevig aan de GDPR. Met zaken doen wordt bedoeld; het leveren van goederen of diensten (ook al is dit gratis) of het monitoren van klanten en/of gebruikers binnen de EU. Vanwege deze bepaling

2 02 houdt de GDPR ook rekening met de export van persoonsgegevens naar landen buiten de EU. Impact GDPR / AVG Op het moment van schrijven zijn we slechts een twee maanden verwijderd van de deadline waarop organisaties moeten voldoen aan de nieuwe wetgeving. Lukt ze dat niet, dan lopen ze het risico op flinke boetes. Desondanks merken wij dat het in de praktijk voor veel bedrijven nog een flinke uitdaging is om aan bepaalde aspecten van het nieuwe raamwerk een goede invulling te geven. Er zijn namelijk flink wat zaken waar organisaties vanaf 25 mei rekening mee moeten gaan houden. Dit zijn de bepalingen van de GDPR / AVG die de grootste impact hebben en waar organisaties soms ook flink mee worstelen. Privacy by design en privacy by default Hoewel de GDPR geen gedetailleerde technische of procedurele vereisten voorschrijft, gaat de wet ervan uit dat elke data controller de principes van privacy by design en privacy by default volgt. Privacy by design betekent dat elke data controller wordt geacht de nodige technische en operationele stappen te zullen nemen om veiligheid van alle persoonsgegevens waarover zij beschikt te kunnen garanderen. Maar bijvoorbeeld ook dat er niet meer gegevens worden verzameld dan noodzakelijk voor het doel van de verwerking. En dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie wilt bereiken. Dit mag dus niet: Een app die de locatie van gebruikers vastlegt, ook al is dit niet persé nodig; Een website waar het Ja, ik wil aanbiedingen ontvangen vooraf is aangevinkt; Bij het opgeven voor een nieuwsbrief meer informatie opvragen dan noodzakelijk. Toestemming voor verwerking persoonsgegevens Een organisatie moet kunnen aantonen dat er toestemming is verleend door de persoon in kwestie voordat de persoonsgegevens zijn verwerkt. In de nieuwe regelgeving worden eisen gesteld aan de wijze waarop deze toestemming wordt gevraagd. Voor rechtsgeldige toestemming moet de toestemming vrijelijk zijn gegeven, de aanvraag moet ondubbelzinnig zijn, gevraagd worden voor een specifiek doel en alvorens om toestemming wordt gevraagd moet de persoon in kwestie zijn geïnformeerd over de inhoud van de toestemming. Meer info > Wanneer de organisatie niet aan deze vereisten kan voldoen, dan is de toestemming niet geldig en mogen de persoonsgegevens niet verwerkt worden. Beperkte gegevensverwerking Alvorens verwerkingen van persoonsgegevens mogen plaatsvinden moeten deze aan een aantal kernbeginselen voldoen. Te noemen; Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt; Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;

3 03 Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwerkt Gegevens moeten correct en actueel zijn; Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd; De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen. Om te controleren of data controllers zich daadwerkelijk aan de wetgeving houden zijn deze verplicht een gedetailleerd record bij te houden van alle verwerkingen. Het zal onder andere betekenen dat veel bedrijven flink na zullen moeten nadenken over hun Big Data programma s. Aan de andere kant geeft het individuen ook mogelijkheden. Personen zijn hierdoor namelijk in staat het gebruik van hun persoonsgegevens door bedrijven te limiteren tot een bepaald doel, bijvoorbeeld directe marketing. Toegang tot data Personen hebben het recht om te weten wat voor persoonlijke data over hen wordt bewaard en hoe dit wordt gebruikt. Ze kunnen ook vragen de informatie te corrigeren indien dit incorrect is. Bovendien bestaat er nu verplichte optie tot data migratie. Dit houdt in dat personen kunnen verzoeken hun informatie op te laten leveren met bijvoorbeeld als doel dit naar een andere organisatie over te brengen. Je kunt je voorstellen dat dit een behoorlijke uitdaging kan vormen. Zijn mijn applicaties wel zo ingericht dat ik eenvoudig al deze gegevens kan vinden en exporteren? Of denk bijvoorbeeld aan de workload voor je medewerkers. Is dit mogelijk op grote schaal met de huidige bezetting? En welke afdeling kan deze taak op zich nemen? Recht om vergeten te worden Personen mogen hun toestemming tot verwerking en gebruik van hun persoonsgegevens elk moment intrekken. Hierbij kunnen ze de data controller verzoeken hun persoonlijke gegevens te verwijderen. Hier moet aan voldaan worden zonder onnodige vertraging. Ook moet de data controller stappen ondernemen om derden te verzoeken alle kopieën van de data te verwijderen. Verplichte melding van datalekken In Nederland bestond er sinds 2016 al de meldplicht voor datalekken. Onder de nieuwe regelgeving blijft dit ook grotendeels hetzelfde. Wel worden er strengere eisen gesteld aan de registratie van datalekken die zich in de organisatie hebben voorgedaan. Alle datalekken moeten gedocumenteerd worden. De Autoriteit Persoonsgegevens moet aan de hand van deze documentatie kunnen bepalen of aan de meldplicht voldaan is. Dit gaat verder dan de huidige wetgeving, welke alleen betrekking heeft op de datalekken die daadwerkelijk gemeld zijn. Benoeming functionaris voor de gegevensbescherming De functionaris voor de gegevensbescherming (FG) dient binnen de organisatie toezicht te houden op de naleving van de algemene vordering gegevensbescherming (AVG). Overheden en publieke organisaties zijn in alle gevallen verplicht een FG aan te stellen. Hierbij gaat het over bijvoorbeeld de rijksoverheid, gemeenten en provincies maar ook zorgen onderwijsinstellingen. Daarnaast geldt het verplicht aanstellen van

4 04 een FG ook voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Relevant hierbij zijn onder meer het aantal mensen dat een organisatie volgt, de hoeveelheid gegevens die deze organisatie verwerkt en hoelang de mensen worden gevolgd. Verantwoordingsplicht Met de invoering van de AVG in Nederland wordt de verantwoordelijkheid voor het aantonen dat aan de privacyregels voldaan wordt bij de organisatie zelf gelegd. Organisaties met meer dan 250 medewerkers hebben standaard een verantwoordingsplicht. Echter ook organisaties waarvan de verwerking van persoonsgegevens niet incidenteel is, een hoog risico inhouden voor rechten en vrijheden of vallen onder de categorie bijzondere persoonsgegevens moeten aan deze plicht voldoen. Om te voldoen aan deze verplichting moet een organisatie een aantal maatregelen nemen. Organisaties moeten meer zaken goed bijhouden. Zo is het verplicht registers bij te houden van verwerkingsactiviteiten, datalekken die zijn opgetreden en aan te kunnen dat toestemming is gegeven. Daarnaast zijn ook data protection impact assessments (DPIA) verplicht voor gegevensverwerkingen met een hoog privacy risico. Wat als ik niet voldoe? De nieuwe regels uit de GDPR / AVG zijn niet vrijblijvend. Het niet voldoen aan deze regels kan nogal een in de papieren lopen. De Autoriteit Persoonsgegevens kan straks boetes opleggen tot een maximum van 20 miljoen of 4% van de totale wereldwijde jaaromzet. Deze maximumboete kan worden opgelegd als er basisbeginselen inzake gegevensverwerking of rechten van betrokkenen zijn geschonden of als een bevel van de toezichthouder niet wordt nageleefd. Bij een schending van verplichtingen en verantwoordelijkheden geldt er een maximumboete van 10 miljoen of 2% van de totale wereldwijde omzet. Het niet melden van een datalek bij de Autoriteit Persoonsgegevens zou hier een voorbeeld van kunnen zijn. Hoe bereid ik me erop voor? Veel grote organisaties hebben vanaf moment één zich bezig gehouden met de ontwikkelingen omtrent GDPR. Zij hebben de nodige maatregelen al getroffen of zullen dit z.s.m. doen zodra ze het risico lopen op de enorme boetes. De wetgeving beperkt zich echter niet alleen tot de grote organisaties. Er zijn dan ook nog een hoop (voornamelijk kleinere) bedrijven die nog maar beperkt hebben stil gestaan bij de impact van de nieuwe wetgeving op hun organisatie. Mocht je na het lezen van de het voorgaande deel toch de impact van de GDPR voor jouw organisatie hebben onderschat, dan zijn hier een aantal tips die je helpen beter voorbereid te zijn voor 25 mei Alvorens je volledig duikt in de materie over hoe je GDPRcompliant kan worden vanuit een data perspectief, is belangrijk dat er aandacht wordt besteed aan de basis van informatiebeveiliging. Ongeacht hoeveel uitgedachte technische proces controls je hebt ingericht voor je datasets, ze zullen maar een beperkte toevoeging vormen als je de basis van je cyber security niet onder controle hebt. Wanneer de essentiële security controls zijn ingericht is het tijd om aandacht te besteden aan de bescherming van je data. Er zijn 4 stappen die je helpen beter voorbereid te zijn voor de nieuwe wetweging.

5 05 Identificeer je data Om een overzicht te krijgen van de bewaarde persoonsgegevens, is het waarschijnlijk het best om te beginnen bij de bedrijfsprocessen waar deze gegevens worden verwerkt of gebruikt. Het in kaart brengen van deze processen, de gebruikte applicaties en de verschillende medewerkers die erbij betrokken raakt moet een redelijk beeld geven van de kritieke aspecten die aandacht vereisen. Wellicht nog wel belangrijker, je kunt met deze aanpak inzicht krijgen hoe de toegangsrechten zijn ingericht en daarmee of persoonsgegevens breder inzichtelijk zijn dan noodzakelijk. Weet waar je data staat Parallel aan de bedrijfsprocessen kan er middels een bottomup onderzoek nagelopen worden waar de GDPR relevante data zich bevindt. Waar staat de data fysiek opgeslagen? Hoe wordt het verplaatst van de ene naar de andere locatie? Hoe krijgen mensen er toegang tot? Etc. Cloud opslag, mobiele apparaten, back-ups en caches maken dat dit een complexe uitdaging kan vormen. Leg de uitkomst van dit onderzoek naast de bedrijfsprocessen en je hebt een goed overzicht van waar de data zicht bevindt, hoe het wordt gebruikt en wie het gebruikt. Manage de menselijke factor Houd er rekening mee dat het officiële overzicht normaal gesproken niet het volledige plaatje schetst. Besteed voldoende aandacht aan de onofficiële, tijdelijke, niet-ondersteunde of zelfs verboden opslaglocaties. Denk hierbij aan persoonlijke computers en de daarbij horende back-ups. Dat data niet op bepaalde manieren opgeslagen zou moeten of mag worden, betekent niet dat deze regels ook altijd worden nageleefd. Houd rekening met de menselijke factor! Bereid je voor op datalekken Ondanks alle maatregelen om het tegen te gaan, is het aan te nemen dat op termijn er toch een datalek, in welke vorm dan ook, zal ontstaan. Het klaar hebben liggen van een goed ingestudeerd actieplan in geval van het onvermijdelijke zal je aanzienlijk helpen. Technische controls kunnen inzicht bieden in de omvang van de lek en ook welke data het betrekking tot heeft. Echter is het geen vervanging voor het daadwerkelijk oefenen van een actieplan en de bijbehorende communicatie. Wanneer een dergelijke situatie zich voordoet wil je niet dat je medewerkers pas dan het actieplan voor het eerst onder ogen zien.

6 06 Hoe kunnen wij je helpen? Als informatiespecialist hebben wij natuurlijk ook onze visie op de GDPR en dan voornamelijk hoe organisaties hier het beste mee om kunnen gaan vanuit een technisch en organisatorisch oogpunt. Door middel van goed doordachte software en gerichte consultancy rijken wij de middelen aan voor bedrijven om hun informatie(stromen) conform de regels in te richten. Goede vastleggen en management van informatie Met 360 case- en documentmanagement structureer je informatie vanaf het begin. De metadata helpt je te achterhalen wat voor informatie het betreft zonder alle documenten door te hoeven spitten. Daarnaast zorgt de slimme opzet van het 360 platform voor een relationeel verband tussen al je contacten, zaken, documenten, projecten en activiteiten. Hiermee weet je binnen enkele klikken welke informatie hoort bij welke contacten en dus wordt een heel stuk eenvoudiger om de opgeslagen persoonsgegevens bij elkaar te zoeken. Met 360 kun je bovendien geautomatiseerde processen inregelen om je contacten inzicht te geven in hun persoonlijke data binnen je organisatie en deze eventueel exporteren of verwijderen. De mogelijkheid om documenten vanuit 360 te redigeren is hierbij een handige tool om ervoor te zorgen dat het inzicht dat je verleend te beperken tot waar je contacten recht toe hebben. Beheersing van je processen GDPR-naleving is een lang en complex proces. De beheersing hiervan is een flinke uitdaging. Gelukkig bestaat er software die je hierbij kan helpen. Met Impero kun je eenvoudig beleidsregels en controles inrichten conform de wettelijke en interne nalevingsvereisten. Ook voor de GDPR leent Impero zich dus uitstekend. Op basis van een GDPR-onderzoek dat is ontwikkeld door juridische experts, heeft Impero een GDPRconformiteitsbeoordeling en compliance-oplossing ontwikkeld. Deze oplossing zal de uitgebreide processen vereenvoudigen en de voorbereiding overbruggen met de daaropvolgende GDPR-conformiteit. De compliance-oplossing zal een complex en tijdrovend project omzetten in efficiënte processen en is geschikt voor organisaties van elke omvang, van kleine tot wereldwijde bedrijven. Centraliseren van al je informatie Zoals in de tips al werd besproken, is het essentieel om te weten waar persoonlijke informatie zich bevindt in je organisatie. Wanneer dit verspreid is over tal van applicaties, is het onwijs ingewikkeld om dit effectief te kunnen managen. Regel procedureel in dat je statische informatie samenkomt in een centraal archief. Hiermee bevorder je het complexe proces voor het garanderen van de veiligheid van al je systemen en diens data. Als alles goed is ingericht is het bovendien heel helder waar je informatie zich bevindt. Met 360 earchive kun je vanuit vrijwel elke applicatie je informatie archiveren. Door de flexibiliteit van de oplossing zorg je voor structuur in elke vorm van informatie. De Informatie die je nodig hebt heb je bovendien zo boven water met de krachtige en uitgebreide search engine. Bovendien wordt recordsmanagement gemakkelijk gemaakt door middel van een classificatiesysteem welke de bewaartermijnen regelt. Hierdoor bewaar je nooit langer data dan noodzakelijk en / of toegestaan.

7 Digitt Hendrik Figeeweg 3G BJ Haarlem +31 (0) Wortell Schipholweg KP Lijnden +31 (0)