Voldoen aan de privacywetgeving: meer dan encryptie en een bewerkersovereenkomst

Het zijn twee veelgehoorde aanbevelingen in de discussie rondom de privacywetgeving: stel een bewerkersovereenkomst op en versleutel gevoelige data. Volgens sommige instanties is dat zelfs voldoende voor compliance. Niets is minder waar: dit zijn slechts twee elementen uit een veel groter pakket aanbevolen of zelfs verplichte maatregelen.

Lees Blog

Datalekken zijn alom

Je kunt tegenwoordig geen krant of website openen of je leest over datalekken. Privacygevoelige persoonsgegevens belanden letterlijk of figuurlijk of straat en zijn vervolgens overgeleverd aan willekeur. De gevaren zijn legio: identiteitsdiefstal, creditcardmisbruik, gevolgen voor de persoonlijke levenssfeer van betrokkenen. Het gros daarvan is niet het werk van kleine hackers, maar van blunders binnen de eigen muren. Medewerkers lekken, vaak onbewust, informatie langs kanalen als e-mail, sociale media of verloren usb-sticks. Niet altijd is hen dat rechtstreeks verwijtbaar. Procedures voor een zorgvuldige omgang met dergelijke informatie zijn lang niet altijd op orde, evenals een gedegen bewustwording rondom deze problematiek.

Niet voor niets hamert onze overheid op strikte afspraken en procedures als het aankomt op privacygevoelige persoonsgegevens. Organisaties worstelen met die ingewikkelde problematiek. Er zijn echter hardnekkige misverstanden over wat een goede aanpak zou moeten zijn.

Niet vrijblijvend

De wetgeving verplicht ‘passende organisatorische en technische maatregelen’ als het gaat om de bescherming van persoonsgegevens. Dat is geen vrijblijvende aanbeveling. Wanneer er bijvoorbeeld sprake is van een datalek, kan de Autoriteit Persoonsgegevens (NL) of de Privacycommissie (BE) een forse boete opleggen wanneer deze maatregelen ontbreken of niet conform de privacywetgeving zijn uitgevoerd.

Maar wat zijn dan die maatregelen precies? Het opstellen van een rechtsgeldige bewerkersovereenkomst is inderdaad een belangrijke organisatorische maatregel. Ook het opnemen van encryptievoorzieningen in het IT-landschap is een technische maatregel. Maar beide zijn lang niet afdoende. Een aantal zaken die over het hoofd gezien worden:

1. Een gedegen risicoanalyse

Een risicoanalyse is een gedegen eerste stap. Voordat überhaupt aan een bewerkersovereenkomst of encryptie kan worden gedacht, is het noodzakelijk alle risicofactoren wat betreft de opslag en verwerking van persoonsgegevens op een rij te krijgen. Met een dergelijke inventarisatie weet de organisatie waar mogelijke problemen kunnen ontstaan, zodat het passende maatregelen kan nemen.

2. Encryptie is geen vrijblijvende exercitie

Versleuteling van persoonsgevoelige gegevens kan een datalek tegengaan. Immers, versleutelde gegevens zijn niet herleidbaar naar personen, en zijn daarmee geen persoonsgegevens meer. Komen versleutelde gegevens in verkeerde handen, dan is dat dus geen datalek.

Toch hebben organisaties geen vrijbrief om klakkeloos encryptie toe te passen. Allerlei afspraken hierover zijn noodzakelijk. Wie is bijvoorbeeld degene die de encryptie uitvoert? Is die persoon wel gerechtigd om persoonsgegevens in te zien en een bewerking hierop toe te passen? Wie bewaart de ‘sleutel’? En heeft de betrokkene de versleuteling goedgekeurd? Encryptie kan zonder goede afspraken op zichzelf een onrechtmatige verwerking van persoonsgegevens en in bepaalde gevallen dus zelfs een datalek zijn.

3. Wat is het protocol als het misgaat?

Natuurlijk is een datalek nooit voor de volle 100% uit te sluiten. Maar een organisatie moet er wel op berekend zijn als het ooit een keer misgaat. De wetgeving vraagt nadrukkelijk om een uitgewerkt incident respons-plan. Dit plan wordt ook wel het ‘protocol melding, registratie en verwerking beveiligingsincidenten’ genoemd. Daarin staat aangegeven wat de procedures zijn, wie verantwoordelijk is voor de uitvoering van het protocol, een risicoanalyse en welke verplichte handelingen in deze crisissituatie zijn verricht. Maar ook: wie is aansprakelijk bij eventuele schade? Uiteraard dient ook in de medewerkersovereenkomst een incident response-actie te zijn opgenomen.

4. Recht op een privacyovereenkomst

Of het nu gaat om klanten, medewerkers, gebruikers of partners: alle betrokkenen hebben recht op een privacyovereenkomst tussen hen en de organisatie. Hierin is opgenomen hoe de organisatie omgaat met hun privacygevoelige gegevens, wie daartoe toegang heeft en waar, hoe, met welk doel en voor welke duur deze zijn opgeslagen. Daarnaast staan in een privacyovereenkomst alle maatregelen en procedures met betrekking tot het privacybeleid van de organisatie die op de betrokkene van toepassing zijn.

5. Wat gebeurt er bij vertrek van een collega?

Organisaties bewaren vrijwel zonder uitzondering persoonsgegevens van de eigen medewerkers. Wat gebeurt daar mee wanneer zij uit dienst treden? Ook hebben veel medewerkers toegang tot allerlei accounts van netwerk- en clouddiensten, waarbij zij soms ook zelf toegang tot persoonsgegevens hebben. Ook daarover moeten goede afspraken gemaakt worden, zodat na vertrek zij geen onrechtmatige toegang meer hebben tot deze data.

6. Monitoring van ICT-gebruik

Sommige organisaties monitoren het ICT-gebruik van hun medewerkers. Zijn deze data te koppelen aan individuele personen, dan valt dat onder de privacywetgeving. Dat betekent dat over de opslag en verwerking van die gegevens afspraken met de betrokken medewerkers gemaakt moeten worden. Wie mag deze gegevens bijvoorbeeld inzien, en hoe lang worden deze bewaard? Wanneer de organisatie consequenties wil koppelen aan misbruik van ICT-voorzieningen, dan zal bovendien aan medewerkers duidelijk gemaakt moeten worden wat de spelregels op dit gebied zijn.

7. Afspraken over socialmediagebruik

Niet zelden lekt privacygevoelige data weg via socialmediakanalen. Dat kan ernstige datalekken veroorzaken, want gegevens verspreiden zich door het virale karakter van deze media razendsnel. Dat vraagt om goede afspraken met medewerkers over wat wel en wat niet kan en mag op deze media. Dat is niet altijd enkel een kwestie van een goed fatsoen. Wat mogen medewerkers bijvoorbeeld wel en niet kwijt over klanten op social media? Mogen zij foto’s waarop andere collega’s herkenbaar in beeld zijn online plaatsen? En hoe moeten ze omgaan met bedrijfsgevoelige informatie? Dergelijke afspraken moeten worden vastgelegd in een socialmediareglement.

8. Anti-pestbeleid op scholen

Schoolorganisaties die een anti-pestbeleid voeren, moeten daarover uiteraard voldoende communiceren met alle betrokkenen. Bewaren zij daarmee gegevens over leerlingen die naar hen herleidbaar zijn, dan valt dat onder de privacywetgeving. Hierover zullen heldere afspraken gemaakt moeten worden met leerlingen, ouders en de zorgcoördinator.

9. Afspraken met en overzichten van externe bewerkers

De organisatie zelf is lang niet altijd de enige die persoonsgegevens opslaat en bewerkt. Ook derde partijen kunnen hierin een aandeel vormen. Denk bijvoorbeeld aan cloud- en SaaS-providers, accountants, ICT-beheerders, enzovoorts. Ook met hen zullen strikte afspraken gemaakt moeten worden over de opslag, verwerking en verantwoordelijkheden van en rondom persoonsgegevens. Bovendien moet voor de betrokkene inzichtelijk zijn welke externe bewerkers zijn of haar gegevens bewaren en verwerken.

10. Afspraken over verwerking, opslag en publicatie van beeldmateriaal

Beeldmateriaal waarop personen herkenbaar zijn, vallen onder het portretrecht. Publicatie hiervan kan van invloed zijn op de persoonlijke levenssfeer van de betrokkene, en daarmee ook vallen onder de privacywetgeving. Iedere organisatie die beeldmateriaal met herkenbare personen verwerkt moet daarover dan ook goede afspraken maken met de betrokkenen.

11. Vanaf 2018: het recht om te worden vergeten

In 2018 gaat de General Data Protection Regulation (EU- 2016/679) van kracht. Deze pan-Europese wetgeving vervangt in een keer alle nationale privacywetgevingen. Ten opzichte van de huidige wetgeving wordt deze vooral strenger. De GDPR is veelomvattend: het beslaat maar liefst 99 artikelen. Het mag voor zich spreken dat enkel een bewerkersovereenkomst en encryptie geen recht doen aan deze complexiteit.

Er is in de GDPR veel aandacht voor de controle die een betrokkene moet kunnen uitoefenen over zijn of haar eigen persoonsgegevens. Een voorbeeld daarvan is het ‘recht om vergeten te worden’. Dat vereist allereerst aanpassingen in het privacybeleid en de bijbehorende officiële documenten. Het kan verstrekkende gevolgen voor de opslag en bewerking van persoonsgegevens. Zo moet een glasheldere ‘mapping’ aanwezig zijn van alle aanwezige gegevens. Wil een betrokkene ‘vergeten worden’, dan moet een organisatie immers precies weten waar al zijn of haar persoonsgegevens precies bewaard zijn. Ook in de backups.

12. Bewustwording van medewerkers

De uitvoering van een degelijk privacy- en ICT-gebruiksbeleid staat of valt met voldoende draagvlak onder de medewerkers. Zij moeten zich bewust zijn van de risico’s en gevaren die gepaard gaan met de opslag en verwerking van persoonsgegevens. De organisatie kan en moet daar zelf een steentje aan bijdragen, door te zorgen voor voldoende voor- en toelichting in de vorm van een privacy- en securitybewustwordingsprogramma.

13. Eventuele vrijwaringsovereenkomsten

Soms wil of kan een externe bewerker niet instaan voor de gevolgen de opslag en verwerking van persoonsgegevens die door de verantwoordelijke ter beschikking stelt. In dat geval moet die vrijwaring worden vastgelegd middels een vrijwaringsovereenkomst.

Consultancy: een halve oplossing

Deze lijst is niet eens compleet, maar het mag duidelijk zijn: voldoen aan de privacywetgeving behelst veel en veel meer dan enkel een bewerkersovereenkomst en versleuteling van gegevens. Het is ingewikkelde materie waar veel organisaties mee worstelen. Iedereen die anders beweert verkoopt een vals gevoel van veiligheid. Organisaties betalen uiteindelijk daarvan de prijs, in sommige gevallen helaas letterlijk.

Consultancybureaus beseffen dat ook en zijn massaal op dit onderwerp gedoken. Tegen hoge uurtarieven bieden zij advies over dit onderwerp. Dat is vaak weinig zaligmakend, want organisaties moeten alsnog zelf aan de slag met dat advies en moeten alsnog zelf allerlei documenten en procedures opstellen en inregelen.

YourSafetynet is ontwikkeld als alternatief voor deze consultancy. Het programma biedt een turn-key-oplossing. De softwareappliance bevat alle benodigde reglementen en documenten voor het opstellen, monitoren en handhaven van een compliant privacy- en ICT-gebruiksbeleid. Een stap-voor-stap-wizard neemt organisaties bij de hand en begeleidt hen bovendien bij alle noodzakelijke procedures.

Deze worden bij wetswijzigingen automatisch voorzien van updates, zodat compliance niet alleen vandaag, maar ook morgen en overmorgen is gegarandeerd. Ten slotte bevat de software alle benodigde documentatie voor een privacy- en securitybewustwordingsprogramma.

GDPR: bent u er klaar voor?

De afgelopen jaren zijn steeds meer medewerkers gaan werken volgens de principes van ‘Het Nieuwe Werken’. Negen tot vijf op kantoor past niet meer bij ons 24/7-economie en digitale wereld, waarin iedereen en altijd online is. Dankzij (video)chat en samenwerkingstools werken we steeds vaker waar en wanneer we dat willen.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!