Op 25 mei 2018 komt er een nieuwe privacywet aan. Die nieuwe wet gaat een hoop veranderingen teweegbrengen voor organisaties. Wat houdt de wet precies in en hoe zorg je ervoor dat je organisatie GDPR-ready is? We vroegen het aan Michelle Wijnant, juriste van ICTRecht. Deze week: deel 2/2 van het interview. Lees deel 1 van het interview.
Lees ook: AVG-ready in 10 stappen
De bewerkersovereenkomst kennen we van de huidige wetgeving. Wat gaat er veranderen bij de GDPR?
Er wordt inhoudelijk vastgelegd wat erin moet staan. Op dit moment hoeven organisaties alleen vast te leggen dat het vastgelegd moet worden, maar wat precies is nog redelijk vrij. De terminologie verandert ook. Het wordt een ‘verwerkersovereenkomst’ in plaats van ‘bewerkersovereenkomst’. Het is niet helemaal duidelijk waarom. Je moet de rolverdeling vastleggen, maar ook verwerkingen binnen en buiten de EU, hoe je omgaat met betrokkenen en hoe je omgaat met de meldplicht datalekken.
De meldplicht datalekken blijft voor het grootste gedeelte hetzelfde, maar toch veranderen er ook een aantal zaken. Wat verandert er?
In Nederland waren we redelijk vooroplopend. De Meldplicht Datalekken is ingericht aan de hand van de komst van de GDPR. Dus deze komt vrijwel overeen met de Meldplicht Datalekken, alleen bij de GDPR wordt een lijstje gegeven met de informatie die de verwerker dient te verstrekken aan de verantwoordelijke over een datalek. Denk bijvoorbeeld aan het aantal betrokkenen en indicaties. Daarnaast moet je ook een register bijhouden voor je datalekken. Dat was voorheen nog niet.
Wat als het niet helemaal duidelijk is of er sprake is van een datalek?
Het advies is om alle mogelijke datalekken bij te houden, ook als het van tevoren niet geheel duidelijk is of er sprake is van een datalek. Stel dat het tot een discussie komt, dan heb je in ieder geval vastgelegd wanneer er iets is gebeurd. Dit geldt dan als bewijs. Ook als je het dus niet zeker weet of er sprake is van een datalek.
Wanneer spreek je van een beveiligingsincident?
Er wordt onderscheid gemaakt tussen een datalek en een beveiligingsincident. Van een beveiligingslek is sprake als er een inbreuk is op je beveiliging. Dus stel dat je bent gehackt, of er is ransomware geplaatst of een datacenter in brand gevlogen, dan kun je spreken van een beveiligingslek/beveiligingsincident. Maar op het moment dat er verder iets gebeurt met het beveiligingsincident, denk aan iemand die gegevens in kan zien of die het kan downloaden, dan is er sprake van een datalek. Het kan zo zijn dat er een beveiligingsincident is omdat er toevallig een zwakke plek is in de beveiliging, maar dat je kunt uitsluiten, middels logfiles, dat er geen toegang is geweest tot de data. Op dat moment is er dan geen sprake van een datalek.
Welke stappen kunnen organisaties zetten om meer bewustwording te creëren van de gevaren van een datalek?
Het probleem ligt vaak bij de medewerkers die met de data werken. Zij kunnen dingen achterlaten of verkeerde e-mails openen. Daar ligt de beginstap van een datalek. Het is dan ook belangrijk dat medewerkers bewust worden gemaakt van wat een datalek is en wanneer daar een melding over gemaakt moet worden bij iemand binnen de organisatie. Daarnaast moet je intern een beleid hebben, waarbij vermoedens direct gemeld kunnen worden. Maak voor medewerkers helder waar ze naartoe moeten bij twijfel en hoe de procedure loopt. Bij de AP moet op het moment van ontdekking ook melding gemaakt worden. Organisaties hebben dan 72 uur de tijd om de melding te doen. Doen ze het niet? Dan riskeren ze een boete.
Sommige organisaties worden verplicht om een privacy officer aan te stellen. Wat is dit precies?
Dit is een persoon die aan wordt gesteld als centraal aanspreekpunt waar mensen in de organisaties terecht kunnen voor vragen. Zo’n persoon moet bij alle privacygegevens die verwerkt worden in de organisatie betrokken zijn. Ziekenhuizen zitten hier dus altijd aan. Ook hier geldt bij moment van twijfel: documenteer waarom je het niet hebt gedaan en wat er de beweegredenen bij waren. Eventueel kunnen bedrijven ook externe juristen inhuren als dit noodzakelijk is.
Je noemde Privacy Impact Assessment. Wat houdt dit in?
Op het moment dat je gebruik gaat maken van een systeem waarbij je persoonsgegevens gaat verwerken, dan moet er voorafgaand een PIA worden uitgevoerd. Ook bij het implementeren van een nieuw systeem, zoals bijvoorbeeld een CRM, wordt een PIA verplicht. In de PIA wordt gekeken of de privacy zo goed mogelijk wordt ingericht. Zitten er bewaartermijnen in? Is het voldoende beveiligd? Dat soort dingen ga je testen. Je moet dit kunnen beoordelen. Iedereen met kennis van de GDPR moet hierop in kunnen spelen.
Wat betekenen de begrippen ‘Privacy by design’ en ‘Privacy by Default’?
Privacy by design betekent dat op het moment dat je iets ontwikkelt, je al rekening houdt met de privacy van betrokkenen. Dus als je een nieuwe technologie ontwikkelt, is het verstandig om de GDPR-richtlijnen rondom het verwerken van persoonsgegevens in kaart te brengen. Denk aan het limiteren van autorisaties, dat bij mogelijke risico’s automatische meldingen bij de verantwoordelijke terecht komt en dat je niet meer verwerkt dan nodig.
Privacy by default houdt in dat je de standaardinstellingen zo privacyvriendelijk mogelijk maakt. Als je bij de Albert Hein bestelt, kun je klikken op je eigen profiel en kun je zien welke gegevens de Albert Heijn van jou verwerkt. Daarnaast heb je de mogelijkheid om die gegevens aan en uit te zetten, dus je houdt het zelf in de hand wat er met je gegevens gebeurt. Maar het houdt ook in dat je algemene voorwaarden privacyvriendelijk inricht, dat je het gebruiksvriendelijk omschrijft en dat je nadenkt over welke gegevens je echt nodig hebt.
Zijn dit harde eisen?
Ja, het wordt expliciet in de GDPR genoemd. Je moet als organisatie dus echt goed gaan nadenken over de gegevens die je verwerkt. Bij zo’n register komen organisaties er bijvoorbeeld achter dat ze ook alle gegevens opslaan van sollicitanten die niet zijn aangenomen. Dat zijn dan gegevens die eruit moeten. De organisatie heeft het nergens voor nodig, dus waarom zou je het bewaren? Hetzelfde geldt voor beoordelingsrapporten van mensen die allang niet meer werkzaam zijn bij het bedrijf. Bij het opstellen van het register loop je dus bewust aan tegen zaken die je helemaal niet nodig hebt. Ook dit is privacy by design. Rondzwervende informatie wordt door de GDPR nu ook in kaart gebracht.
Welke rol spelen ISO-certificeringen binnen de nieuwe wet?
Op grond van de GDPR moet je organisatorische en technische maatregelen nemen. De ISO-certificering is zo’n technische beveiligingsmaatregel waar wordt gecheckt of je eraan voldoet. Binnen de GDPR heeft een persoon ook recht op inzage. Een certificering laat zien dat de organisatie bepaalde stappen heeft genomen voor de beveiliging. Met zo’n audit en certificiering kan je dus aantonen bij de persoon hoe zijn of haar gegevens worden beschermd. Als daarna nog steeds de vraag ontstaat hoe gegevens worden verwerkt, is het verplicht om deze persoon meer inzage te geven.
Welke tips heb je voor organisaties om voorbereid te zijn op deze nieuwe wetgeving?
Het is belangrijk om te inventariseren wat je in huis hebt aan persoonsgegevens. Wat hebben we? Wat weten we? En vanuit daar gaan kijken welke vervolgstappen er genomen moeten worden. Zijn we verantwoordelijk? Of juist de bewerker? Moeten we afspraken maken? Informeren we wel? Plaatsen we cookies? Dat je gewoon kijkt via welke wegen er allemaal persoonsgegevens binnenkomen. Van daaruit kijken wat er mee wordt gedaan, of we het delen met derden en of er nog zaken geregeld moeten worden. Dat is eigenlijk het beste, maar dat is nog een flinke kluif.
Pak daarom de key-users binnen de organisaties. Heel vaak zijn dat managers, zoals bijvoorbeeld een marketingmanager. Laat die personen ook een rol hebben, want die weet als geen ander wat er binnen hun team gebeurt.
Train ook de medewerkers. Hoe meer je medewerkers hierin worden getraind, hoe meer de bovenkant van de organisatie wordt ontlast. Verkopers zijn gericht op het sluiten van deals, maar als je die het belang van een verwerkersovereenkomst laat inzien, dan schiet je daar ook wat mee op. Bewustwording is een essentieel onderdeel.
E-book: veilig gedrag en slimme technologie
IT-security gaat over veilig gedrag en slimme technologie. Hoe bereik je de goede balans tussen menselijk gedrag, processen en technologie? In het e-book zoomen we in op de volgende onderwerpen:
- Veiligheid is meer dan technologie
- Hoe bereik je compliance en security?
- Oplossingen en tools
- Checklist #1: Ga de uitdaging aan
- Checklist #2: Is mijn IT-securityplan compleet?
