DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

Transcriptie

1 Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties, zowel bedrijven als overheden, verplicht zijn om direct een melding te doen bij het College bescherming persoonsgegevens (CPB) zodra zij een ernstig datalek hebben. Om datalekken te voorkomen, moeten bedrijven die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. Organisaties die persoonsgegevens verzamelen moeten moderne technieken gebruiken om deze gegevens te beschermen. Tevens moet er binnen deze organisaties blijvend aandacht zijn voor de beveiliging van deze gegevens en voor wie toegang heeft tot welke gegevens. Ook moeten organisaties de toegang tot de persoonsgegevens beperken. Kortom, alleen bevoegd personeel mag toegang hebben tot de betreffende gegevens. Bij een datalek gaat het om toegang tot, vernietiging, wijziging of vrijkomen van de persoonsgegevens van een organisatie zonder dat dit de bedoeling is van deze organisatie. Het betreft hier tevens situaties waarbij er onrechtmatig persoonsgegevens verwerkt worden. Als een datalek niet wordt gemeld binnen 72 uur aan het CPB dan kan het CPB een boete geven. Deze boete bedraagt per 1 januari 2016 maximaal euro of 10% van de totale jaaromzet.

2 CLOUD Door het toenemend gebruik van clouddiensten, internationalisering van organisaties en het gebruik van Software-as-a- Service (SaaS), staat de IT-infrastructuur van organisaties steeds meer geografisch verspreid. Dit heeft tot gevolg dat het steeds complexer wordt om te bepalen waar data, als persoonsgegevens zich bevinden. Organisaties krijgen vaker te maken met meerdere rechtstelsels waardoor ze niet meer weten of ze wel voldoen aan de Wbp. grensoverschrijdende gegevensuitwisseling in het gedrang brengen. Wanneer er bij de mensen onzekerheid heerst over de mate van bescherming die ze genieten in andere landen, zullen ze niet zo snel geneigd zijn om hun persoonlijke gegevens aan het buitenland te overhandigen. Bovendien voorziet de wetgeving in specifieke regels voor de overdracht van persoonlijke gegevens buiten de EU om een zo goed mogelijke bescherming van deze gegevens te garanderen bij overdracht naar het buitenland. BRING YOUR OWN DEVICE (BYOD) Binnen organisaties worden persoonsgegevens door medewerkers ook regelmatig op een ongestructureerde manier verwerkt buiten de gereguleerde en gecontroleerde systemen om en opgeslagen op een laptop, tablet, USB stick of mobiele telefoon. De trend van BYOD heeft de risico s op datalekken vergroot en stelt nieuwe eisen aan organisaties: EU General Data Protection Regulation (GDPR) In het kader van de EU-wetgeving kunnen persoonlijke gegevens wettelijk gezien alleen onder strikte voorwaarden worden verzameld en dan alleen voor legitieme doeleinden. Bovendien moeten personen of organisaties die persoonlijke gegevens verzamelen en beheren, deze informatie beschermen tegen misbruik. Ook moeten zij specifieke rechten respecteren van de eigenaars van deze gegevens die gewaarborgd worden door de EU-wetgeving. In de EU verspreiden bedrijven, openbare diensten en personen elke dag grote hoeveelheden persoonlijke gegevens over de grenzen heen. Een tegenstrijdige regelgeving op het gebied van de bescherming van persoonlijke gegevens in de verschillende landen zal deze Weet welke persoonsgegevens door medewerkers worden verwerkt; Identificeer de gebruikte Cloud oplossingen door medewerkers van de organisatie; Voorkom dat persoonsgegevens worden verwerkt of opgeslagen op een niet gemanagede Cloud omgeving; Beveilig persoonsgegevens wanneer ze verwerkt of opgeslagen worden in de Cloud. Onder de GDPR blijven organisaties altijd juridisch verantwoordelijk voor de veilige verwerking en opslag van persoonsgegevens ook als haar medewerkers deze data opslaan of verwerken op niet goedgekeurde Cloud omgevingen. Naast de juridische aspecten ten gevolge van datalekken moeten organisaties ook rekening houden met zaken als continuïteit van de organisatie en reputatieschade.

3 WAT VALT ONDER PERSOONSGEGEVENS Persoonsgegevens zijn allen informatie gerelateerd aan een persoon ten aanzien van hun privé, professionele of publieke leven. Dit is een heel breed begrip en omvat zaken als naam, foto, adres, bank informatie, berichten op sociale netwerken, medische informatie, werk prestaties, medicijngebruik, aankopen, BTW nummer, opleiding, hobby s, geloof, IP adres computer etc.. USA FREEDOM ACT Het doorgeven van persoonsgegevens naar landen buiten de Europese Unie is op grond van de Wbp alleen toegestaan bij een passend beschermingsniveau. De VS wordt door de EU aangemerkt als een land zonder passend beschermingsniveau. Doorgifte van persoonsgegevens vanuit de EU naar de VS of ander land zonder passend beschermingsniveau is alleen nog mogelijk indien: activiteiten verrichten vallen niet onder de USA Freedom Act. Onder bepaalde voorwaarden hebben de Amerikaanse autoriteiten de bevoegdheid om bij een Amerikaanse organisatie data op te vragen, op basis van verplichte geheimhouding, die is opgeslagen bij een niet in Verenigde Staten gevestigde organisatie met een band met deze Amerikaanse organisatie. Dit betekent dat als een Nederlandse organisatie onderdeel is van een Amerikaanse organisatie die gevestigd is in de Verenigde Staten, deze Amerikaanse organisatie door de veiligheidsdiensten kan worden aangesproken om bepaalde gegevens te leveren die zijn opgeslagen bij de Nederlandse organisatie. PRISM Deze reikwijdte van de USA Freedom Act is een zorg maar sinds de NSA-onthullingen wordt steeds duidelijker hoe ver de Amerikaanse autoriteiten gaan. PRISM is een speciaal surveillanceprogramma gericht op personen buiten de Verenigde Staten en analyseert grote hoeveelheden datastromen om informatie te verzamelen, te filteren en te linken aan personen. Daarbij richt PRISM zich in bijzonder op persoonsgegevens via internetbedrijven als o.a. Google, Facebook, Yahoo. In de praktijk worden ook gegevens van Amerikanen zelf verzameld. Gebruik gemaakt wordt van door de Europese Commissie goedkeurde modelcontracten; De betrokkene expliciete toestemming heeft gegeven voor de doorgifte; De USA Freedom Act geeft de Amerikaanse autoriteiten de bevoegdheid voor het vorderen en verzamelen van gegevens. Organisaties die niet in de VS zijn gevestigd of daar stelselmatig

4 HOE OM TE GAAN MET? Om GDRP compliant te worden zal er binnen organisaties die persoonsgegevens verwerken aanvullende organisatorische en technische maatregelen genomen moeten worden. Weet welke persoonsgegevens door medewerkers worden verwerkt Breng in kaart wie en welke persoonsgegevens worden verwerkt; Bepaal welke persoonsgegevens echt van belang zijn; Ken rechten toe aan de toegang en het gebruik tot deze persoonsgegevens; Audit continu tot op het niveau van medewerkers de toegang en het gebruik van deze data. Identificeer de gebruikte Cloud oplossingen door medewerkers van de organisatie Breng in kaart wie en welke cloud applicaties worden gebruikt; Identificeer welke applicaties niet voldoen aan standaarden t.a.v. het eigenaarschap van de data en dataprivacy; Ken rechten toe aan de toegang en het gebruik van geautoriseerde cloudapplicaties; Voorkom dat persoonsgegevens worden verwerkt of opgeslagen op een niet gemanagede Cloud omgeving; Blokkeer toegang tot niet gemanagede Cloud omgevingen en applicaties; Bewaak het uploaden van bedrijfsdata naar een niet geautoriseerde Cloud omgeving. Beveilig persoonsgegevens wanneer ze verwerkt of opgeslagen worden in de Cloud. Beperk het gebruik en mogelijkheden van mobiele apparaten zoals telefoons en laptops bij toegang tot bedrijfsinformatie; Versleutel en beveilig de persoonsgegevens die opgeslagen worden in de Cloud; Genereer automatische meldingen naar verantwoordelijke binnen de organisatie bij ongeautoriseerde toegang of gebruik van persoonsgegevens.

5 DATACUBE Data Valley Group heeft een zeer hoogwaardig en energiezuinig datacenterconcept ontwikkeld, de DataCube, waarmee er een open en geïntegreerd datacenter voor de Brainport en kennis regio s wordt gerealiseerd. Doordat samengewerkt wordt met regionale ITbedrijven en dienstenleveranciers ontstaat er een marktplaats waar bestaande en nieuwe diensten vanuit een platform aangeboden worden die aansluiten op de behoeften en wensen van de markt. SAMENWERKING Data Valley Group onderscheidt zich doordat haar focus ligt op het realiseren van samenwerkingen en het door-ontwikkelen van de datacenterdienstverlening door derden. We sluiten aan bij het open innovatie karakter van de Brainport en kennis regio s. Deze werkwijze zorgt er voor dat we continu inspelen op de marktontwikkelingen en behoeften in de betreffende regio. CONTACT Jef Gorissen info@datavalleygroup.com DATA VALLEY GROUP Science Park Eindhoven EB Son Nederland