Privacy en Databeveiliging in 7 punten.

Hans Bodde - Nieuws - 01 okt 2017
Privacy en Databeveiliging in 7 punten.

Warning: Taaie kost!

Privacy en gegevensbescherming zijn een groeiend onderwerp in onze samenleving. Iedere paar maanden is het wel een onderwerp bij Zembla, Kassa of Radar. Meestal gaat dat om het verliezen van gegevens, maar soms ook over hacks of het ten onrechte delen van gegevens.

 

Er staan nu stevige veranderingen op til rond de bescherming van Privacy. Iedereen die klantdata heeft of bewerkt is direct onder de invloed van deze wetgeving.

De bescherming van deze gegevens is op dit moment vastgelegd in de Wet Bescherming Persoonsgegevens (WbP). Deze voorziet in een basale kapstok waar het gaat om databeveiliging en -zoals de naam zegt- bescherming van persoonsgegevens en privacy.

Per mei 2018 zal de WbP vervangen worden door de Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese verordening (wetgeving) die ervoor zal zorgen dat de privacyrechten van Europese burgers afdoende beschermd worden. De AVG is op veel punten een stuk vollediger en strenger dan de WbP. Er staan veel bepalingen in waar jij als eigenaar van een website of online platform aan moet voldoen. En dat is nog maar 1 jaar vanaf nu.

Wat gaat er veranderen, wat moeten we weten?

 

Een aantal items zal het komende jaar behandeld moeten worden in het kader van de naderende Algemene Verordening Gegevensbescherming (AVG). Deze hebben we voor zover ze op dit moment bekend zijn, hieronder opgesomd.

Zeer belangrijk is dat er een bestuurdersaansprakelijkheid in deze wetgeving staat, welke onafhankelijk is van mogelijk faillissement van de onderneming. Dit bestaat in de WbP nog niet, en is voor veel bestuurders een reden om deze veranderingen zeer serieus te nemen. Er worden momenteel mogelijkheden onderzocht om deze aansprakelijkheid op ICT vlak te verzekeren via een Bestuurders Aansprakelijkheids Verzekering.

 

Algemene eisen

Rechten Betrokkene (Consument)

Plichten Verwerker (Technische partij)

Plichten Verantwoordelijke (Bedrijf, klant)

Privacy by Design

Internationale Doorgifte

Handhaving

1@2x.jpg

Het doel van de AVG is het beschermen van de rechten van de betrokkenen. De verantwoordelijke, de eigenaar van het online platform, krijgt meer plichten. Ook de Verwerker, de bouwer van het online platform, krijgt meer plichten.

Deze gelden voor zowel Verantwoordelijke als Verwerker.

 

  • Documentatieplicht
    Iedere organisatie zal adhv documenten moeten kunnen aantonen dat aan de AVG wordt voldaan. -> Er moet een Privacybeleid gepubliceerd (bv op de website) worden, alle maatregelen moeten worden gedocumenteerd.
  • Beveiligingsbeleid
    Ieder bedrijf wat verantwoordelijk is voor, of verwerker van grote hoeveelheden persoonsgegevens moet een beveiligingsbeleid opstellen tegen verlies of onrechtmatige verwerking van persoonsgegevens.
  • Doel verwerking, wettelijke grondslag
    Persoonsgegevens mogen alleen worden opgeslagen en verwerkt voor helder bepaalde doeleinden (beschreven in voorwaarden of privacybeleid). Gegevens mogen niet voor andere doeleinden gebruikt worden.
  • Functionaris gegevensbescherming (FG)
    Ieder bedrijf wat verantwoordelijk is voor, of verwerker van, grote hoeveelheden persoonsgegevens moet een FG’er aanstellen. De functie van de FG’er is het creëren van Privacy bewustzijn en gegevensbescherming binnen de organisatie. Hij is contactpersoon voor de Autoriteit Persoonsgegevens, ook in geval datalekken.
  • Meldplicht datalekken
    Iedere datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens, met details rond omvang, type data etc.
  • Afspraken met derde partijen - dienstverleners
    Wanneer een derde partij persoonsgegevens verwerkt voor Verantwoordelijke, zal deze met deze derde een bewerkers/verwerkers overeenkomst moeten afsluiten. Daarin wordt de omgang en verantwoordelijkheid mbt de data vastgelegd.
  • Transparantie en informatieplicht
    Het moet voor Betrokkenen duidelijk zijn dat en hoe zijn/haar persoonsgegevens worden verwerkt. Zie Recht op Informatie bij Rechten Betrokkenen.

 

2@2x.jpg

De rechten van de betrokkenen, dus de consument, worden beduidend vergroot.

  • Beperking van verwerking / Freeze van bewerken
    In dit geval moet de data behorende bij deze Betrokkene in een soort ‘quarantaine’ gezet kunnen worden waar deze niet benaderbaar en niet bewerkt wordt. Betrokkene trekt dus toestemming in om te verwerken. Dit kan geëist worden wanneer bijvoorbeeld juistheid van gegevens wordt betwist, onrechtmatige verwerking plaatsvindt, of wanneer data niet zichtbaar mag zijn.
  • Recht op bezwaar tegen verwerking
    Wanneer een Betrokkene vindt dat zijn/haar gegevens ten onrechte of onrechtmatig worden verwerkt kan hiertegen bezwaar gemaakt worden bij de Verantwoordelijke.
  • Recht om vergeten te worden
    Betrokkene wiens gegevens in een bestand / database voorkomen heeft het recht om vergeten te worden, dus al zijn bekende data wordt gewist.
  • Recht om gegevens te wissen
    Een Betrokkene heeft het recht dat alle gegevens die niet meer noodzakelijk zijn worden gewist. Dit is gedifferentieerd naar type/aard gegevens, sommige gegevens moeten langere tijd bewaard worden.
  • Recht op dataportabliliteit
    Een Betrokkene heeft het recht om een ‘export’ te vragen van al zijn gegevens, en deze op een gestructureerde en machineleesbare manier aangeleverd te krijgen. Gegevens moeten kunnen worden aangeboden aan een nieuwe eigenaar of Verantwoordelijke. (bijvoorbeeld bij verhuizing van aanbieder oid)
  • Recht op informatie
    Ook wel ‘Meer informatie’. Betrokkene heeft het recht om inzicht te krijgen in alle data rondom accountgegevens van betrokkene in het systeem van Verantwoordelijke.
  • Verbod op automatische besluitvorming
    Er mogen geen automatisch gegenereerde besluiten genomen op basis van beschikbare data worden waar deze betrekking hebben op bijvoorbeeld premies, rechtsgevolgen, duur overeenkomst etc.
  • (Granulaire) Toestemming
    De Betrokkene heeft recht op controle over welke informatie over hem/haar wordt opgeslagen. Dit betreft mogelijk ook cookies op websites.
3@2x.jpg

Ook de plichten van de aanbieder / technische partij en de eigenaar van de data worden groter.

  • Meldplicht bij niet naleven verordening
    De Verwerker is verplicht een expliciete melding te doen bij de Verantwoordelijke bij het niet naleven van de plichten gesteld in de AVG, wanneer in strijd wordt gehandeld met AVG of wanneer nalatigheid wordt geconstateerd.
  • Verwerker neemt passende maatregelen tav beveiliging
    De Verwerker is verantwoordelijk voor de beveiliging van de (fysieke en digitale) omgevingen, platforms, data etc.
  • Registerplicht
    Iedere verwerking die plaatsvindt binnen het systeem waarin data wordt verwerkt zal moeten worden bijgehouden, echter dit in strikte en uitdrukkelijke opdracht van de Verantwoordelijke. Dit moet worden opgenomen in de verwerkersovereenkomst.

 

Over de plichten van de Verantwoordelijke is nog geen extra info bekend, behalve het faciliteren van de rechten van de Betrokkene en de algemene plichten.

4@2x.jpg

Privacy by design (PbD) is een filosofie op het vlak van soft- en hardware architectuur welke technische partijen zullen moeten gaan adopteren om in de toekomst mee te kunnen in het veranderende ICT landschap.

Dit gaat onder andere over:

 

  • Het technisch faciliteren en implementeren van zorgvuldige omgang met gegevens.
  • Tijdens het ontwikkelproces Privacy Enhancing Technologies (PET) inbouwen, op architectonisch vlak wordt PbD al toegepast.
  • Niet meer gegevens verzamelen dan noodzakelijk voor de functie, gegevens verwijderen wanneer niet meer nodig (of dit mogelijk maken).
  • Proactiviteit en anticiperen op risico’s.
  • Volledige functionaliteiten, dus alle stadia zijn doordacht ontwikkeld met veiligheid en privacy in gedachten.
  • End-to-End security. Ieder stadium moet veilig zijn. Van digitaal tot papier.
5@2x.jpg

Privacy by Default is de nieuwe standaard, dus standaardinstellingen zijn ‘Max privacy’ alle andere opties moet een betrokkene bewust aanzetten (informed consent, opt-in).

 

Doorgifte is het transporteren van data. Binnen de EU mag door gelijk getrokken wet+regelgeving data vrijelijk worden getransporteerd of uitgewisseld. Vanwege de ‘ Privacy Shield (US) ‘ is het opslaan en verwerken van buiten de EU niet toegestaan. Ook toegang vanaf buiten de EU is niet toegestaan. Gegevens delen met derden buiten de EU kan dmv een modelcontract van de EER (Europese Economische Ruimte).

Handhaving zal plaatsvinden op basis van meldingen bij de Autoriteit Persoonsgegevens. Bij constatering van overtreding zal eerst een rode kaart worden gegeven, waarna de geconstateerde overtreding binnen 4 weken aantoonbaar opgelost dient te worden. Als dit niet gebeurt dan kunnen grote boetes worden gegeven. Dit kan oplopen tot 20 miljoen euro of 4% van de totale wereldwijde omzet.

Het is vooral belangrijk om risico’s te inventariseren en op te lossen. Het advies is, gebruik in alle gevallen de Deming Circle / PDCA cyclus. Dus Beoordeel risico’s - > Gebruik geaccepteerde standaarden -> Controleer -> Evalueer -> Implementeer -> Herhaal.

De achterliggende gedachte is natuurlijk dat je blijft doorontwikkelen en kritisch blijft op je processen. Daarin willen wij je waar mogelijk bijstaan. Online data is een gebied wat altijd in beweging is, dus een situatie is bijna per definitie niet meer wat hij gisteren was.

Doe dit alles dus samen met je andere technische partners of leveranciers. Jullie zijn van elkaar afhankelijk en samen verantwoordelijk voor de data die in de systemen verwerkt wordt.

Hoewel we ons hier richten op databeveiliging op ICT vlak, is het op het kantoor net zo belangrijk. Principes als 'clear screen', 'clean desk' en toegangsbeperking zijn ook zeer belangrijk in het geheel van databeveiliging.

6@2x.jpg

Ver van mijn bed?

 

Tot zover de taaie kost. Dus is de AVG ver van je bed? Als je data van je klanten opslaat niet. Dan ben je direct onder de invloed van deze wetgeving met al zijn gevolgen. Je zult samen met je leveranciers de risico’s in kaart moeten brengen, en waar nodig deze oplossen. Je zult ook rekening moeten houden met klanten die mondiger worden, die verzoeken gaan doen naar aanleiding van hun toegenomen rechten.

7@2x.jpg

Al met al staan er stevige veranderingen voor de deur. Hoe heet de soep gegeten wordt weet nog niemand precies, maar dat de soep wordt geserveerd is zeker. Daarom vinden wij het belangrijk jou alvast een bericht te geven. Een jaar is zo voorbij. Als er meer informatie beschikbaar komt dan zullen we zeker een update op deze nieuwsbrief verzenden.

 

Ben je klant bij Have A Nice Day en wil je nu al informatie over wat dit voor jouw platform inhoudt? Neem contact op met Hans op 073 627 26 33.

Tick, tock, tick, tock..