AVG: Welke privacygevoelige gegevens moet u beschermen?

AVG: Welke privacygevoelige gegevens moet u beschermen?

Corine de Kater, Ron Brouwer, René Bouter

In april 2016 keurde het Europees Parlement de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) goed. De AVG is een set van regels om de privacyrechten van natuurlijke personen te beschermen.

Vanaf 25 mei 2018 moeten alle organisaties die met persoonlijke gegevens werken AVG-compliant zijn. Organisaties die hun huiswerk dan niet op orde hebben riskeren zware boetes tot 4% van hun wereldwijde jaaromzet. Reden genoeg dus om u spoedig voor te bereiden.

In de komende maanden zullen wij op onze website een aantal artikelen over de Algemene Verordening Gegevensbescherming (AVG) publiceren. Hierbij zullen we niet alle regels afzonderlijk behandelen maar ons op een selectie van wetsartikelen concentreren. We zullen  op basis van onze eigen ervaringen tips en best practices delen die u kunnen helpen om privacy in uw organisatie te verankeren.

De volgende 7 onderwerpen zullen de revue passeren:

  1. Persoonsgevoelige gegevens
  2. Rechten van betrokkenen
  3. Verantwoordelijkheden
  4. Toestemming van gebruikers
  5. Functionaris voor de gegevensbescherming
  6. Gegevensbeschermingseffectbeoordeling
  7. Privacy by design/default

In dit eerste artikel staan we stil bij ‘persoonsgevoelige gegevens’.

Wat regelt de Algemene Verordening Gegevensbescherming (AVG of GDPR)?

De Algemene Verordening Gegevensbescherming regelt op hoofdlijnen twee zaken: de privacyrechten van natuurlijke personen en de verantwoordelijkheid van organisaties om deze rechten te waarborgen. Dit klinkt misschien gewichtig maar de meeste organisaties in Nederland moeten sinds 2001 al voldoen aan de Wet bescherming persoonsgegevens (Wbp). Hierdoor zijn de meeste organisaties wellicht al een heel eind op weg om compliant te worden met de nieuwe AVG.

Wie de Algemene Verordening Gegevensbescherming (AVG) en de Wet bescherming persoonsgegevens (Wbp) naast elkaar legt ziet namelijk veel overeenkomsten. Prettig dat Nederland op het gebied van privacy vooroploopt!

U kunt zeker niet zomaar achterover leunen, maar als uw organisatie die Wbp al goed heeft ingericht dan hoeft u zich enkel nog op de aanvullende eisen van de AVG te richten om AVG-compliant te worden.

Voor wie geldt de Algemene Verordening Gegevensbescherming?

De Algemene Verordening Gegevensbescherming geldt voor iedere organisatie in de EU die persoonsgegevens verwerkt, van tennisvereniging tot multinational. Zodra u persoonsgegevens verwerkt van o.a. uw eigen medewerkers, cliënten, patiënten, leden of (potentiële) klanten moet u aan de AVG voldoen.

De AVG heeft voor de ene organisatie echter meer impact dan voor de andere. Organisaties die bijvoorbeeld medische gegevens of persoonsgegevens buiten Europa verwerken moeten aan meer eisen voldoen dan de bakker op het dorpsplein. Het belang van dergelijke privacy-eisen wordt aangetoond door een recent datalek bij het Amerikaanse Equifax.

4 eisen van de AVG

Equifax, een Amerikaans bedrijf dat de kredietwaardigheid van consumenten nagaat, kondigde begin september aan dat hackers tussen mei en juli mogelijk toegang hadden tot de gegevens van zo’n 143 miljoen personen. De hackers hadden o.a. toegang tot namen, adressen, burgerservicenummers, rijbewijsgegevens en creditcardnummers.

Hoewel Equifax, met uitzondering van het Europese bedrijfsonderdeel, niet onder de AVG valt, kunnen we uit dit datalek wel een aantal belangrijke lessen trekken met betrekking tot de AVG en organisaties in Europa:

  1. De AVG schrijft voor dat u als organisatie naar betrokkenen (cliënten, patiënten, studenten…) toe altijd transparant moet zijn over hun persoonsgegevens. Equifax is duidelijk niet transparant geweest. Het heeft twee maanden geduurd voor betrokkenen over het datalek geïnformeerd zijn. De slachtoffers konden dat niet weten en hebben geen maatregelen kunnen nemen. Het was ook lang niet duidelijk welke gegevens van welke slachtoffers gestolen zijn.
  2. De AVG schrijft verder voor dat u als organisatie enkel gegevens mag verzamelen voor gerechtvaardigde doeleinden (‘doelbinding’).
  3. Verder mag u als organisatie alleen gegevens bewaren die voor uw bedrijfsvoering noodzakelijk zijn (‘minimale gegevensverwerking’). In het geval van Equifax kunnen we vragen stellen in verband met de principes van doelbinding en minimale gegevensverwerking. Het bedrijf doet immers aan kredietbeoordeling maar daarnaast verzamelt, verrijkt en verhandelt Equifax ook gegevens.
  4. De AVG stelt duidelijk dat er passende technische of organisatorische maatregelen moeten worden genomen om de privacy van alle betrokkenen te beschermen. Hoe passend de technische en/of organisatorische maatregelen van Equifax waren, wordt nog onderzocht.

Hoe en waar gebruikt u welke persoonsgegevens?

Weet u welke persoonsgegevens uw organisatie gebruikt, waarvoor u deze gegevens gebruikt en waar u deze bewaart? Dit was al een vereiste onder de Wet bescherming persoonsgegevens (Wbp). Sommige verwerkingen moest u zelfs melden aan de Autoriteit Persoonsgegevens.

Dat hoeft onder de AVG niet meer maar de verplichting om een registratie bij te houden is er nog steeds. Onze ervaring is dat veel organisaties niet weten voor welke doelen en in welke verwerkingen persoonsgegevens worden gebruikt en waar deze gegevens allemaal worden bewaard.

Dit is een probleem, want als u niet weet welke gegevens u heeft dan kunt u ze ook niet beschermen. De eerste stap op weg naar AVG-compliancy is daarom vaak het in beeld brengen van de (hoeveelheid) persoonsgegevens waarmee uw organisatie werkt.

Over welke persoonsgegevens spreken we?

Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn naar een persoon. Denk aan NAW-gegevens, geboortedatum, burgerservicenummer (BSN), relatienummer, e-mail-adres, rekeningnummer, telefoonnummer etc. Ook gegevens die in combinatie tot een persoon te herleiden zijn, zijn van belang.

Wat het extra lastig maakt is dat In de AVG ‘identiteit’ breed gedefinieerd is. Gegevens die iets zeggen over bijvoorbeeld de fysieke, economische, culturele of sociale identiteit van een persoon worden tot persoonsgegevens gerekend.

Het verwerken van gegevens over ras, etnische afkomst, politieke opvattingen, overtuigingen, genetische, biometrische of gezondheidsgegevens zijn verboden tenzij voldaan wordt aan de uitzonderingen die in de wet zijn benoemd.

Hoe krijgt u grip op de persoonsgegevens in uw organisatie?

 Streef naar volledigheid, focus op zorgvuldigheid

Regelmatig krijgt één van ons de vraag: “Kunt u mij garanderen dat we volledig zijn met onze inventarisatie van de persoonsgegevens die in onze organisatie gebruikt worden?”. Die garantie is er helaas niet. Volledigheid is niet aantoonbaar, wel de zorgvuldigheid van uw inventarisatie.

Maak in de eerste plaats weloverwogen risico-afwegingen. Richt u op die gegevens waarvan u de risico’s onderkent. Door in uw analyse zowel uw bedrijfsprocessen, applicatielandschap en gegevenslandschap te betrekken bent u zorgvuldig en werkt u aan een zo compleet mogelijke inventarisatie.

Denk ook aan lokale kopieën

Waar bewaart u persoonsgegevens in uw organisatie? Persoonsgegevens die in databases opgeslagen worden kunnen goed geïdentificeerd worden. Veel groter is de uitdaging rondom kopieën die ergens op een netwerkschijf, een laptop of in een mailbox staan.

Om het werk voor elkaar te krijgen is het vaak noodzakelijk om persoonsgegevens links en rechts op te slaan en te delen met andere medewerkers. Deze data noemen wij voor het gemak vaak ‘lokale kopieën’. Er wordt ook wel over ‘ongestructureerde data’ gesproken.

Om lokale kopieën in beeld te brengen kunt u in uw organisatie uiteraard een uitvraag doen. Dit geeft u waardevolle inzichten maar het is slechts een momentopname. Dergelijke uitvragen zijn verder arbeidsintensief en u weet nooit of het overzicht compleet en betrouwbaar is.

In de markt zijn tools beschikbaar om lokale kopieën te identificeren. Het gebruik hiervan vraagt uw aandacht. U zult zelf uw zoekcriteria moeten ingeven. Als uw zoekcriteria onvoldoende onderscheidend zijn, krijgt u uit de zoekactie gegevens voorgeschoteld die u niet het inzicht geven dat u nodig heeft. Wij kennen organisaties die er menskracht op zetten om relevante informatie te filteren uit het zoekresultaat. Dat kan natuurlijk niet de bedoeling zijn.

Stel dat u met een 9-cijferig relatienummer werkt en u wilt zoeken naar burgerservicenummers die lokaal zijn opgeslagen. U heeft een samengesteld zoekcriterium nodig om het onderscheid te maken tussen relatienummers en burgerservicenummers. Burgerservicenummers voldoen aan de elfproef, een additioneel criterium dat u daarbij kunt gebruiken.

Onderzoek of zo’n tool u gaat helpen. Doe hiervoor een Proof of Concept (PoC) op uw eigen gegevens om te ervaren wat het u oplevert. Natuurlijk geldt voor een PoC dat het belangrijk is vooraf goed te doordenken wat u van de tool verwacht.

Inventarisatie en tools brengen in beeld waar u lokale kopieën heeft staan. U brengt hiermee de situatie ‘achteraf’ in kaart. Het is zeker ook de moeite waard om na te gaan wat u kunt doen om het gebruik en opslaan van lokale kopieën te voorkomen. Dat vraagt in de eerste plaats inzicht. Waarom worden er in uw organisatie lokale kopieën opgeslagen? Als u dat inzicht heeft, kunt u nagaan wat nodig is om te voorkomen dat bestanden met persoonsgegevens lokaal worden opgeslagen. Zijn er hulpmiddelen denkbaar waardoor het niet langer noodzakelijk is om bestanden lokaal te gebruiken? Heeft het met awareness te maken? Is er een technische oplossing denkbaar?

De aanpak voor het vraagstuk van lokale kopieën zal zich richten op procesmatige maatregelen, het benutten van technische mogelijkheden, datamanagement en awareness en kennis bij de medewerkers.

De AVG is er. Bent u er (bijna) klaar voor?

De AVG is goedgekeurd en treedt volgend jaar in mei in werking. U heeft dus nog maar beperkt tijd. Als u nog niet begonnen bent met uw voorbereiding om AVG-compliant te worden dan raden wij u aan om hier meteen aan te beginnen.

In dit artikel vertelden we wat de AVG onder ‘persoonsgegevens’ beschouwt, en we vertelden dat het belangrijk is om precies te weten welke ‘persoonsgegevens’ voor welke doeleinden opgeslagen en gebruikt worden. Verder is het belangrijk om niet enkel elektronische maar ook lokale kopieën (offline en digitaal) van persoonsgegevens in kaart te brengen en te beheren.

Het is vrijwel onmogelijk om hier een volledig beeld van te krijgen, maar u wilt en u moet kunnen aantonen dat u zorgvuldig te werk gaat. De wet vraagt het van u maar belangrijker, het geeft uw klanten vertrouwen in uw organisatie.  Bovendien heeft u het nodig om de volgende stappen te nemen naar volledige compliance met de AVG.

In ons volgende artikel gaan we hier verder op in.

Vragen of meer informatie?

Heeft u vragen over de Algemene Verordening Gegevensbescherming (AVG), uw rechten en plichten en hoe u zich compliant kunt maken? Aarzel niet en neem contact met ons op via het formulier onderaan deze pagina, via info@divetro.nl of +31 (0) 88 000 54 00.

DiVetro Team - Corine de Kater

Corine de Kater helpt organisaties in de rol van projectmanager en implementatiemanager verder met het realiseren en “laten landen” van tastbare veranderingen. Ruim 20 jaar werkt zij op het snijvlak van business en ICT waarbij zij zich de afgelopen jaren heeft toegelegd op privacy en informatiebeveiliging.

DiVetro Team - Ron Brouwer

Oplossingen bedenken voor Informatiebeveiligingsvraagstukken is de passie van Ron Brouwer. Zit u met een uitdaging op het gebied van informatiebeveilingsbeleid, baselines of het definiëren of invoeren van maatregelen, dan kunt u hem bereiken via ron.brouwer@divetro.nl of 026-4436790.

Rene Bouter is meer dan 10 jaar werkzaam in de security en heeft een brede kennis en ervaring op het gebied van fysieke beveiliging, business continuity en informatiebeveiliging. Daarnaast ontwikkelt en geeft Rene verschillende trainingen op het gebied van security. Als consultant is hij betrokken bij verschillende ISO27000 en NEN7510 implementatietrajecten voor organisaties in de overheid, financiën en de zorg.

Geen reactie's

Geef een reactie