01 oktober 2017

Privacy en Databeveiliging in 7 punten

Warning: Taaie kost!

Privacy en gegevensbescherming zijn een groeiend onderwerp in onze samenleving. Iedere paar maanden is het wel een onderwerp bij Zembla, Kassa of Radar. Meestal gaat dat om het verliezen van gegevens, maar soms ook over hacks of het ten onrechte delen van gegevens.
 

blog-privacy_en_databeveiliging_in_zeven_punten-have_a_nice_day_privacy

Er staan nu stevige veranderingen op til rond de bescherming van Privacy. Iedereen die klantdata heeft of bewerkt is direct onder de invloed van deze wetgeving. De bescherming van deze gegevens is op dit moment vastgelegd in de Wet Bescherming Persoonsgegevens (WbP). Deze voorziet in een basale kapstok waar het gaat om databeveiliging en -zoals de naam zegt- bescherming van persoonsgegevens en privacy. Per mei 2018 zal de WbP vervangen worden door de Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese verordening (wetgeving) die ervoor zal zorgen dat de privacyrechten van Europese burgers afdoende beschermd worden. De AVG is op veel punten een stuk vollediger en strenger dan de WbP. Er staan veel bepalingen in waar jij als eigenaar van een website of online platform aan moet voldoen. En dat is nog maar 1 jaar vanaf nu.

Wat gaat er veranderen, wat moeten we weten?

Een aantal items zal het komende jaar behandeld moeten worden in het kader van de naderende Algemene Verordening Gegevensbescherming (AVG). Deze hebben we voor zover ze op dit moment bekend zijn, hieronder opgesomd. Zeer belangrijk is dat er een bestuurdersaansprakelijkheid in deze wetgeving staat, welke onafhankelijk is van mogelijk faillissement van de onderneming. Dit bestaat in de WbP nog niet, en is voor veel bestuurders een reden om deze veranderingen zeer serieus te nemen. Er worden momenteel mogelijkheden onderzocht om deze aansprakelijkheid op ICT vlak te verzekeren via een Bestuurders Aansprakelijkheids Verzekering.
 
Algemene eisen
Rechten Betrokkene (Consument)
Plichten Verwerker (Technische partij)
Plichten Verantwoordelijke (Bedrijf, klant)
Privacy by Design
Internationale Doorgifte
Handhaving
 

blog-privacy_en_databeveiliging_in_zeven_punten-1-2x

Het doel van de AVG is het beschermen van de rechten van de betrokkenen. De verantwoordelijke, de eigenaar van het online platform, krijgt meer plichten. Ook de Verwerker, de bouwer van het online platform, krijgt meer plichten.
Deze gelden voor zowel Verantwoordelijke als Verwerker.
 

  • Documentatieplicht

Iedere organisatie zal adhv documenten moeten kunnen aantonen dat aan de AVG wordt voldaan. -> Er moet een Privacybeleid gepubliceerd (bv op de website) worden, alle maatregelen moeten worden gedocumenteerd.

  • Beveiligingsbeleid

Ieder bedrijf wat verantwoordelijk is voor, of verwerker van grote hoeveelheden persoonsgegevens moet een beveiligingsbeleid opstellen tegen verlies of onrechtmatige verwerking van persoonsgegevens.

  • Doel verwerking, wettelijke grondslag

Persoonsgegevens mogen alleen worden opgeslagen en verwerkt voor helder bepaalde doeleinden (beschreven in voorwaarden of privacybeleid). Gegevens mogen niet voor andere doeleinden gebruikt worden.

  • Functionaris gegevensbescherming (FG)

Ieder bedrijf wat verantwoordelijk is voor, of verwerker van, grote hoeveelheden persoonsgegevens moet een FG’er aanstellen. De functie van de FG’er is het creëren van Privacy bewustzijn en gegevensbescherming binnen de organisatie. Hij is contactpersoon voor de Autoriteit Persoonsgegevens, ook in geval datalekken.

  • Meldplicht datalekken

Iedere datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens, met details rond omvang, type data etc.

  • Afspraken met derde partijen - dienstverleners

Wanneer een derde partij persoonsgegevens verwerkt voor Verantwoordelijke, zal deze met deze derde een bewerkers/verwerkers overeenkomst moeten afsluiten. Daarin wordt de omgang en verantwoordelijkheid mbt de data vastgelegd.

  • Transparantie en informatieplicht

Het moet voor Betrokkenen duidelijk zijn dat en hoe zijn/haar persoonsgegevens worden verwerkt. Zie Recht op Informatie bij Rechten Betrokkenen.
 

blog-privacy_en_databeveiliging_in_zeven_punten-2-2x

2.    De rechten van de betrokkenen, dus de consument, worden beduidend vergroot.

  • Beperking van verwerking / Freeze van bewerken

In dit geval moet de data behorende bij deze Betrokkene in een soort ‘quarantaine’ gezet kunnen worden waar deze niet benaderbaar en niet bewerkt wordt. Betrokkene trekt dus toestemming in om te verwerken. Dit kan geëist worden wanneer bijvoorbeeld juistheid van gegevens wordt betwist, onrechtmatige verwerking plaatsvindt, of wanneer data niet zichtbaar mag zijn.

  • Recht op bezwaar tegen verwerking

Wanneer een Betrokkene vindt dat zijn/haar gegevens ten onrechte of onrechtmatig worden verwerkt kan hiertegen bezwaar gemaakt worden bij de Verantwoordelijke.

  • Recht om vergeten te worden

Betrokkene wiens gegevens in een bestand / database voorkomen heeft het recht om vergeten te worden, dus al zijn bekende data wordt gewist.

  • Recht om gegevens te wissen

Een Betrokkene heeft het recht dat alle gegevens die niet meer noodzakelijk zijn worden gewist. Dit is gedifferentieerd naar type/aard gegevens, sommige gegevens moeten langere tijd bewaard worden.

  • Recht op dataportabliliteit

Een Betrokkene heeft het recht om een ‘export’ te vragen van al zijn gegevens, en deze op een gestructureerde en machineleesbare manier aangeleverd te krijgen. Gegevens moeten kunnen worden aangeboden aan een nieuwe eigenaar of Verantwoordelijke. (bijvoorbeeld bij verhuizing van aanbieder oid)

  • Recht op informatie

Ook wel ‘Meer informatie’. Betrokkene heeft het recht om inzicht te krijgen in alle data rondom accountgegevens van betrokkene in het systeem van Verantwoordelijke.

  • Verbod op automatische besluitvorming

Er mogen geen automatisch gegenereerde besluiten genomen op basis van beschikbare data worden waar deze betrekking hebben op bijvoorbeeld premies, rechtsgevolgen, duur overeenkomst etc.

  • (Granulaire) Toestemming

De Betrokkene heeft recht op controle over welke informatie over hem/haar wordt opgeslagen. Dit betreft mogelijk ook cookies op websites.
 

blog-privacy_en_databeveiliging_in_zeven_punten-3-2x

Ook de plichten van de aanbieder / technische partij en de eigenaar van de data worden groter.

 

  • Meldplicht bij niet naleven verordening

De Verwerker is verplicht een expliciete melding te doen bij de Verantwoordelijke bij het niet naleven van de plichten gesteld in de AVG, wanneer in strijd wordt gehandeld met AVG of wanneer nalatigheid wordt geconstateerd.

  • Verwerker neemt passende maatregelen tav beveiliging

De Verwerker is verantwoordelijk voor de beveiliging van de (fysieke en digitale) omgevingen, platforms, data etc.

  • Registerplicht

Iedere verwerking die plaatsvindt binnen het systeem waarin data wordt verwerkt zal moeten worden bijgehouden, echter dit in strikte en uitdrukkelijke opdracht van de Verantwoordelijke. Dit moet worden opgenomen in de verwerkersovereenkomst.
 
Over de plichten van de Verantwoordelijke is nog geen extra info bekend, behalve het faciliteren van de rechten van de Betrokkene en de algemene plichten.
 

blog-privacy_en_databeveiliging_in_zeven_punten-4-2x

Privacy by design (PbD) is een filosofie op het vlak van soft- en hardware architectuur welke technische partijen zullen moeten gaan adopteren om in de toekomst mee te kunnen in het veranderende ICT landschap.
Dit gaat onder andere over:
 

  • Het technisch faciliteren en implementeren van zorgvuldige omgang met gegevens.
  • Tijdens het ontwikkelproces Privacy Enhancing Technologies (PET) inbouwen, op architectonisch vlak wordt PbD al toegepast.
  • Niet meer gegevens verzamelen dan noodzakelijk voor de functie, gegevens verwijderen wanneer niet meer nodig (of dit mogelijk maken).
  • Proactiviteit en anticiperen op risico’s.
  • Volledige functionaliteiten, dus alle stadia zijn doordacht ontwikkeld met veiligheid en privacy in gedachten.
  • End-to-End security. Ieder stadium moet veilig zijn. Van digitaal tot papier.
     
blog-privacy_en_databeveiliging_in_zeven_punten-5-2x

Privacy by Default is de nieuwe standaard, dus standaardinstellingen zijn ‘Max privacy’ alle andere opties moet een betrokkene bewust aanzetten (informed consent, opt-in).

Doorgifte is het transporteren van data. Binnen de EU mag door gelijk getrokken wet+regelgeving data vrijelijk worden getransporteerd of uitgewisseld. Vanwege de ‘ Privacy Shield (US) ‘ is het opslaan en verwerken van buiten de EU niet toegestaan. Ook toegang vanaf buiten de EU is niet toegestaan. Gegevens delen met derden buiten de EU kan dmv een modelcontract van de EER (Europese Economische Ruimte). Handhaving zal plaatsvinden op basis van meldingen bij de Autoriteit Persoonsgegevens. Bij constatering van overtreding zal eerst een rode kaart worden gegeven, waarna de geconstateerde overtreding binnen 4 weken aantoonbaar opgelost dient te worden. Als dit niet gebeurt dan kunnen grote boetes worden gegeven. Dit kan oplopen tot 20 miljoen euro of 4% van de totale wereldwijde omzet. Het is vooral belangrijk om risico’s te inventariseren en op te lossen. Het advies is, gebruik in alle gevallen de Deming Circle / PDCA cyclus. Dus Beoordeel risico’s - > Gebruik geaccepteerde standaarden -> Controleer -> Evalueer -> Implementeer -> Herhaal. De achterliggende gedachte is natuurlijk dat je blijft doorontwikkelen en kritisch blijft op je processen. Daarin willen wij je waar mogelijk bijstaan. Online data is een gebied wat altijd in beweging is, dus een situatie is bijna per definitie niet meer wat hij gisteren was. Doe dit alles dus samen met je andere technische partners of leveranciers. Jullie zijn van elkaar afhankelijk en samen verantwoordelijk voor de data die in de systemen verwerkt wordt. Hoewel we ons hier richten op databeveiliging op ICT vlak, is het op het kantoor net zo belangrijk. Principes als 'clear screen', 'clean desk' en toegangsbeperking zijn ook zeer belangrijk in het geheel van databeveiliging.
 

blog-privacy_en_databeveiliging_in_zeven_punten-6-2x

Ver van mijn bed?

Tot zover de taaie kost. Dus is de AVG ver van je bed? Als je data van je klanten opslaat niet. Dan ben je direct onder de invloed van deze wetgeving met al zijn gevolgen. Je zult samen met je leveranciers de risico’s in kaart moeten brengen, en waar nodig deze oplossen. Je zult ook rekening moeten houden met klanten die mondiger worden, die verzoeken gaan doen naar aanleiding van hun toegenomen rechten.
 

blog-privacy_en_databeveiliging_in_zeven_punten-

Al met al staan er stevige veranderingen voor de deur. Hoe heet de soep gegeten wordt weet nog niemand precies, maar dat de soep wordt geserveerd is zeker. Daarom vinden wij het belangrijk jou alvast een bericht te geven. Een jaar is zo voorbij. Als er meer informatie beschikbaar komt dan zullen we zeker een update op deze nieuwsbrief verzenden.