De dag der dagen komt in zicht. Althans, als het om digitale gegevensbescherming gaat. Op 25 mei 2018 wordt in Nederland de Algemene Verordening Gegevensbescherming (AVG) definitief van kracht. Die vloeit voort uit de General Data Protection Regulation (GDPR) die binnen de Europese Unie regels stelt. Daarin is privacy het toverwoord. Wanneer die door een datalek in het geding komt, ben je als organisatie verplicht om dat datalek te melden. Bij de ‘oude’ Wet bescherming persoonsgegevens was dat ook al  het geval. Maar de AVG vraagt om een extra inspanning. 

Wat moet ik met die AVG?

Allereerst moet je zorgen dat je je privacyzaken goed hebt geregeld. Daarvoor heb ik in een eerder stadium al 10 handige tips gegeven waarmee je gegevensbescherming binnen jouw organisatie goed kunt inrichten. Een van de belangrijkste elementen in de AVG is het zorgvuldig omgaan met persoonsgegevens van klanten en medewerkers. Maar wat is dan precies zorgvuldig?

 

Je moet de digitale gegevens in jouw organisatie hoe dan ook tegen verlies of diefstal beveiligen. Ook moeten jouw klanten en medewerkers weten wat je met hun gegevens doet. Als het om papieren documenten gaat, kun je dat eenvoudig aangeven. Maar hoe doe je dat digitaal? En in hoeverre ben je daar zelf verantwoordelijk voor? Doe je eigenlijk wel aan gegevensverwerking?

Bewerker van of verantwoordelijk voor?

De AVG maakt onderscheid tussen bewerkers van persoonsgegevens en verantwoordelijken. In welke categorie jouw organisatie thuishoort, is eenvoudig te bepalen.

De bewerker verwerkt persoonsgegevens zonder onder het rechtstreeks gezag van een verantwoordelijke te vallen. Denk aan een administratiekantoor dat de salarisadministratie voor jouw organisatie doet. Maak je gebruik van een bewerker? Dan ben je verplicht om daarmee een bewerkersovereenkomst te sluiten.

De verantwoordelijke stelt het doel van – en de middelen voor – de verwerking van persoonsgegevens vast. Hierbij kun je denken aan een bedrijf dat persoonsgegevens van de werknemers bijhoudt. Dat kan met het oog op de salarisadministratie (naam, adres, bankrekeningnummer, enzovoort) zijn, maar ook andere doelen hebben. Het betreffende bedrijf is dan verantwoordelijk voor de gegevens.

Heb je een IT-leverancier bij wie je alleen een pakket software afneemt (on premise installatie), dan verwerkt die geen gegevens, maar doe je dat zelf. De IT-leverancier is dan dus geen bewerker en ook geen verantwoordelijke.

Nog iets duidelijker

Een leverancier die een dienst levert waarbinnen persoonsgegevens worden gebruikt, is wél een bewerker. Denk even aan een hosted CRM-systeem. Dan sla je klantgegevens op bij de beheerder daarvan. Hetzelfde geldt bij een app-leverancier die gegevens op de eigen server opslaat. De app is weliswaar on premise, maar de server is gewoon een dienst. Bij SaaS-diensten en opslagdiensten waarbij persoonsgegevens worden opgeslagen, moet dus altijd een bewerkersovereenkomst worden gesloten.

Een uitzondering hierop is een situatie waarin de dienstverlener niet bij de feitelijke persoonsgegevens kan. Voorbeeld? Een versleutelde back-up dienst die je afneemt, waarbij je zelf als enige de sleutel hebt. De versleutelde data tellen dan niet als persoonsgegevens en dus is de dienstverlener geen bewerker.

Twijfelgeval

Het wordt twijfelachtig wanneer de leverancier wel bij persoonsgegevens kán, maar dat niet mág. Dat kan het geval zijn bij een externe systeembeheerder die mappen met persoonsgegevens alleen met aparte toestemming mag openen. Wanneer je dat niet technisch blokkeert, kan de beheerder erbij. Die kun je dan feitelijk zien als bewerker, omdat de systeembeheerder in jouw opdracht handelt. En jawel, dan moet er een bewerkersovereenkomst worden opgesteld.

Wat is een bewerkersovereenkomst eigenlijk?

De bewerkersovereenkomst is de overeenkomst tussen de verantwoordelijke en de bewerker. Daarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. In het eerder genoemde voorbeeld moeten het bedrijf en het administratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. De verantwoordelijke moet ervoor zorgen dat dit ook werkelijk gebeurt.

Altijd een overeenkomst vereist

Als een verantwoordelijke persoonsgegevens door een bewerkers laat verwerken, is een bewerkersovereenkomst tussen beide partijen altijd verplicht. Dat is ook het geval wanneer de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland is gevestigd. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist. Bedenk daarbij dat er al gauw sprake is van ‘verwerken’ van persoonsgegevens. Het inzien van persoonsgegevens door een externe helpdesk is al een verwerking. Daarom hebben de meeste IT-leveranciers bewerkersovereenkomsten met hun klanten.

Wat moet in een bewerkersovereenkomst staan?

Bewerkersovereenkomsten kunnen van elkaar verschillen. De meeste overeenkomsten bevatten een aantal vaste items waarover je samen overeenstemming hebt bereikt: geheimhouding; beveiligingsmaatregelen; inschakelen van derden en onderaannemers; locatie van de data; audits en aansprakelijkheid.

Wat kan ik doen om veilig te zijn?

Het is duidelijk dat de AVG vooral gaat over het beveiligen van persoonlijke informatie. Op basis van de informatie en de classificatie daarvan kan worden bepaald welke stappen gezet moeten worden. De volgende handvatten helpen om een blijvend passend beveiligingsniveau te bereiken.

#1. Beoordeel de risico’s

Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen. Bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de bedreigingen die kunnen leiden tot een beveiligingsincident, de impact die zo’n incident kan hebben en de kans dat deze gevolgen zich zullen voordoen. Tref (eventueel samen met jouw IT-leverancier) op grond daarvan gerichte beveiligingsmaatregelen die het gewenste beveiligingsniveau waarborgen.

#2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden

Het vakgebied informatiebeveiliging kent veel beveiligingsmethoden, -standaarden en -maatregelen. Die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken. Een bijzonder vaak gebruikte beveiligingsstandaard is de Code voor Informatiebeveiliging ISO 27001.

#3. Controleer en evalueer regelmatig

Controleer periodiek of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en ook worden nageleefd. Beoordeel regelmatig of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen. Check daarnaast of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij leveranciers die jou kunnen helpen met de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan, eventueel samen met jouw IT-leverancier.

Er is toch een datalek ontstaan, wat nu?

Ondanks alle maatregelen kan het nog steeds voorkomen dat er een lek optreedt. Iemand kan een USB-stick verliezen. Een laptop blijft ingelogd open staan op een werkplek waar iemand zich ongeoorloofd toegang tot verschaft. Een afgeschreven printer bevat nog lokale opslag waaruit het concept van het nog niet gepubliceerde jaarrapport te lezen is. Gaat het om een ernstig datalek? Dan treedt de meldplicht in werking. In het algemeen is daar sprake van als het lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Maar ook als er een aanzienlijke kans bestaat dat dit gebeurt. Of er sprake is van een ernstig datalek, kun je bepalen met deze richtlijn.

Melden van een datalek

Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en in sommige gevallen ook bij de betrokkene(n). Het laatste is het geval wanneer een datalek negatieve gevolgen heeft voor de persoonlijke levenssfeer van de betrokkenen (de personen van wie u gegevens verwerkt).

Hoe doe ik dat?

De melding kan worden gedaan op de website van de Autoriteit Persoonsgegevens. Die leidt je stap voor stap door de vaststelling van het lek en de te treffen maatregelen. Houd er rekening mee dat dit een gedegen onderzoek vooraf vereist. Denk daarbij aan een goed inzicht in de impact, de startdatum en tijd, de aard van de inbreuk en andere zaken. Aanvullend wordt ook gevraagd naar de huidige en te nemen maatregelen. Niet alleen op technisch en organisatorisch vlak, maar ook op het gebied van communicatie. Met wie is erover gecommuniceerd en wat is er gecommuniceerd? Het melden van een datalek doe je op deze webpagina.

Regelhulp

Gegevensbescherming is een behoorlijk complexe materie. Voor meer (achtergrond)informatie kun je terecht bij de Rijksdienst voor Ondernemend Nederland. Die heeft een slimme regelhulp ontwikkeld waarmee je antwoorden op je vragen kunt krijgen. En als dat niet zo is, help ik je graag verder.

René de Grauw

"Absolute veiligheid is een illusie. Maar je kunt er wel heel dicht bij in de buurt komen."

x

JOBS 13

JOBS 13