Veel professionals weten inmiddels dat er door de GDPR (Algemene Verordening Gegevensbescherming) vanaf mei 2018 strengere regels gelden en er meer controle is op het gebied van privacygevoelige data. Hoera, goed nieuws! Hopelijk wordt dit een mooie stap naar een betere omgang met onze waardevolle gegevens. Voor sommige organisaties is de naderende GDPR-deadline echter reden voor paniek in de tent. In deze blog beschrijf ik daarom een aantal stappen waar je vandaag nog mee kunt beginnen. Want zoals je zult zien kun je een heel eind komen met GDPR compliance door je gezond verstand te gebruiken.
Geen overzicht GDPR
Het is niet raar dat veel organisaties het spoor bijster raken als het om de GDPR gaat. Er is veel informatie te vinden, maar het overzicht ontbreekt en een wettekst lezen en goed interpreteren is nou eenmaal ook niet voor iedereen weggelegd. Veel artikelen eindigen dan ook met: “dit is super-ingewikkeld maar wij weten er veel van dus bel ons”. Ik raad absoluut aan om voor verificatie op juridisch vlak een goede partij in te schakelen (mét verstand van ICT). Daarnaast kan een ervaren IT-auditor je goed helpen met het inrichten van je processen en het controleren hiervan. Maar tref vooral ook zelf voorbereidingen. Want hoe ingewikkeld het ook lijkt, je kunt zelf al veel doen.
Wat voor data heb ik in mijn bezit?
De eerste stap in dit proces is uitzoeken welke data je verzamelt en van wie. Classificeer de data op vertrouwelijkheid. De GDPR maakt duidelijk onderscheid tussen persoonsgegevens en gevoelige persoonsgegevens, en er zitten dan ook verschillen in regels tussen de niveaus van vertrouwelijkheid. Een persoonsgegeven is volgens de GDPR: informatie die te herleiden is naar een persoon, of die in combinatie met andere data die je in bezit hebt te herleiden is naar een persoon. Gevoelige informatie omvat onder meer gezondheidsinformatie, etnische afkomst, politieke standpunten of informatie over (verdenking van) een misdrijf.
Heb ik toestemming om deze data te gebruiken?
Volgens GDPR zijn er meerdere condities die het verwerken van persoonsgegevens rechtvaardigen. Een daarvan is toestemming van het individu. Hier moeten we onder de GDPR veel transparanter over zijn. Je kunt deze toestemming niet meer verweven in ellenlange voorwaarden. Het moet direct duidelijk zijn wat je met data van plan bent, je moet dit onderbouwen en er moet expliciet toestemming worden gegeven. Voor gevoelige data geldt dat deze uitsluitend mag worden verwerkt bij een zeer duidelijke opt-in van het individu. Voor gewone persoonsgegevens geldt dat een ondubbelzinnig (oftewel, men is zich er zonder twijfel van bewust) akkoord voldoende is.
Maar let op, er zijn dus meer condities, anders dan toestemming van het individu, die het verwerken van data rechtvaardigen. Je vindt ze in dit overzicht van ICO, opgesplitst per classificatie.
Wie heeft er toegang tot deze data?
Breng vervolgens in kaart waar je de gegevens opslaat en wie hier allemaal toegang toe heeft. Ga dan eens kritisch na of dit allemaal nog in verhouding staat met het doel waarvoor je de data in eerste instantie hebt verzameld. Kun je de toegang en hoeveelheid data verminderen en alsnog het doel bereiken dat je ermee hebt? Doe dit dan zoveel mogelijk. Als de data van waarde is voor bijvoorbeeld statistieken kun je ook denken aan het anonimiseren of pseudonimiseren van data.
Wanneer je data deelt met andere partijen wees dan extra alert. Controleer of dit nog steeds rechtmatig is en/of de toestemming van het individu wel zover reikt. Ook wanneer je data opslaat bij andere partijen ben je hier nog steeds verantwoordelijk voor. Hoe heb je gezorgd dat ook hier de rechten van het individu in acht worden genomen en wordt de data ook op deze plek wel goed beschermd? Het een en ander kun je vastleggen in bewerkersovereenkomsten, maar probeer deze niet te gebruiken om verantwoordelijkheden af te schuiven. Als iedereen zijn deel goed doet, zorgen we met zijn allen voor een betere bescherming van persoonsgegevens.
Hanteer een privacy-by-design aanpak
Door het hanteren van een privacy-by-design aanpak zorg je dat de rechten en privacy van individuen altijd voorop staan. Wanneer je een nieuw component toevoegt aan je IT-omgeving, een nieuwe strategie bedenkt, of je data voor andere doeleinden gaat gebruiken, voer dan altijd een ‘Privacy Impact Assessment’ uit. Hiermee kun je de belangen en risico’s goed in kaart brengen wat je zal helpen om de juiste keuzes te maken. Als richtlijn kun je de ‘code of practice’ van ICO gebruiken, maar je kunt natuurlijk ook gebruikmaken van andere richtlijnen.
Documenteer je processen
Een belangrijk aspect van de GDPR is dat de verantwoordelijkheid van bedrijven groter is geworden. Het is aan jou om aan te tonen dat je de zaken goed op orde hebt! Dat je hebt nagedacht over de manier waarop je data verwerkt en hierbij rekening hebt gehouden met de rechten van het individu. Besteed hier voldoende aandacht en tijd aan, daarvan profiteer je namelijk ook als er bijvoorbeeld een controle komt. Het gebruiken van algemeen bekende standaarden (bijvoorbeeld ISO) kan je helpen om op een goede manier je processen in te richten en te controleren .
Beveilig je systemen en data
Een firewall instellen is niet voldoende om te voorkomen dat persoonsgegevens door een datalek op straat komen te liggen. Periodiek een automatische scan uitvoeren ook niet. Het is belangrijk dat je data in de basis goed beveiligd is door een correct ingericht netwerk en de juiste maatregelen in je applicatie(s).
Idealiter volg je de deze stappen: voer een nulmeting uit door een vulnerability assessment op de gehele omgeving. Los kwetsbaarheden op en laat dit opnieuw controleren. Vervolgens kunnen een firewall en een wekelijkse automatische scan ervoor zorgen dat je grip houdt op je omgeving en hele grote fouten sneller aan het licht komen. Maar vergeet ook niet dat cybercriminelen je altijd een paar stappen voor zijn. Een periodieke handmatige test is essentieel om te controleren of je beschermd bent tegen meer complexe of nieuwe aanvallen.
En niet in de laatste plaats; maak werk van de awareness binnen je organisatie. Veel aanvallen vinden nog steeds plaats doordat mensen zich niet bewust zijn van de online risico’s en bijvoorbeeld zwakke wachtwoorden gebruiken of phishing mails openen. Investeer daarom in periodieke trainingen op dit gebied, zodat cybersecurity top-of-mind blijft bij je werknemers.
Toch een datalek?
Niemand is 100% veilig, dus zorg echt dat je ook rekening houdt met een ‘worst case scenario’. Leg vast wat je stappen zijn in een dergelijke crisis, wie je (verplicht) informeert en hoe. Zorg ook dat je partners in je netwerk hebt die je kunt bellen voor hulp op zowel juridisch als technisch niveau.
Dit blog is geen uitputtende opsomming van de weg naar GDPR compliance. Maar hopelijk biedt het je een start om ermee aan de slag te gaan. Want als je logisch nadenkt en zorgt dat je de zaken op orde hebt, kan iedere organisatie uiteindelijk prima met deze regelgeving overweg.
Mocht je meer willen weten over het beschermen van persoonsgegevens, bel (06 1221 7951) of mail (rdijkxhoorn@computest.nl) me gerust, dan kijk ik wat ik voor je kan doen.
bronnen; https://ico.org.uk/ – http://www.eugdpr.org/ – https://autoriteitpersoonsgegevens.nl/nl – mijn eigen gezond verstand
