General Data Protection Regulation – uitgelegd door Féju

Met dit artikel wil Féju haar relaties informeren over de Algemene  Verordening Gegevensbescherming (AVG, in het Engels GDPR) waarbij de belangrijkste regels aan bod zullen komen.

Nieuwe Europese privacy wetgeving, wat betekent dat voor uw organisatie?

Daar waar veel organisaties druk bezig zijn om in te lezen en te spelen op de nieuwe Wet Meldplicht Datalekken, staat de volgende grote verandering alweer voor de deur. Op 25 mei 2018 wordt de Europese privacywetgeving van kracht die de Nederlandse wetgeving vervangt. In een eerder artikel hebben wij uitgebreid stilgestaan bij de huidige privacywetgeving. In dit artikel willen we ook een korte samenvatting geven over de huidige privacywetgeving (Wbp), waarna we meer in detail ingaan op de nieuwe Europese wetgeving.

Huidige privacywetgeving (samenvatting)

De Wbp geeft in Nederland het kader voor het gebruik van persoonsgegevens. Een persoonsgegeven is elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon.

Voor de verwerking van persoonsgegevens geldt:
– Je mag ze alleen vastleggen als ze strikt noodzakelijk zijn voor de uitvoering van de dienst of overeenkomst;
– Persoonsgegevens mag je niet gebruiken voor andere doelen dan waar je ze initieel voor hebt gekregen;
– Bijzondere persoonsgegevens mogen überhaupt niet worden vastgelegd (behalve in uitzonderlijke in de wet omschreven situaties);
– Gebruik van persoonsgegevens in niet-productieomgevingen (bijvoorbeeld test-, analyse- of demo-omgevingen) is niet toegestaan.

Het niet naleving van deze regels betekent dat een organisatie zich niet aan de wet houdt en strafbaar is. De maximale sanctie bij een overtreding bedraagt 820.000 euro (of in uitzonderlijke gevallen 10% van de jaaromzet). Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
De Wet Meldplicht Datalekken is een integraal onderdeel van de Wbp. Hierin worden aanvullende voorwaarden gesteld aan het omgaan met een datalek. De sancties voor een datalek zijn verder gelijk aan de normale sancties die kunnen worden opgelegd vanuit de Wbp.

Nieuwe Europese privacywetgeving per 25 mei 2018

Na jarenlange onderhandelingen is op 14 april 2016 de nieuwe Europese privacywet aangenomen. In deze General Data Protection Regulation (GDPR), is vastgelegd welke regels vanaf 2018 binnen de hele EU gaan gelden op het gebied van privacy. De GDPR vervangt nationale wetgeving en geldt voor alle organisaties die persoonsgegevens verwerken. Er is al veel geschreven over de GDPR maar in dit artikel proberen we een heldere samenvatting te geven van de belangrijkste onderdelen van deze wetgeving. De lidstaten hebben afgelopen 2 jaar de GDPR kunnen implementeren in eigen land, waarbij vele organisaties zeker nog niet op orde zijn. In de resterende tijd tot 25 mei 2018 kan er op details nog iets veranderen, maar het algemene beeld staat vast.

De belangrijkste punten uit de AVG / GDPR zijn:

1. Centrale regels, lokale handhaving
De GDPR geeft een centrale set regels weer die voor alle organisaties in de gehele EU gelijk zijn. Alle organisaties die actief zijn binnen de EU moeten zich aan dezelfde regels gaan houden. Op nationaal niveau wordt vervolgens een lokale toezichthouder aangesteld die toeziet op de naleving van de GDPR binnen het specifieke land. Deze zogenaamde Data Protection Authority (DPA) vervangt de huidige toezichthouder en zorgt ook voor de verantwoording richting EU. In Nederland ligt het voor de hand dat de Autoriteit Persoonsgegevens (nu nog verantwoordelijk voor de handhaving van de Wbp) deze rol gaat vervullen.

2. Doelbinding
Er moet te allen tijde een duidelijk doel ten grondslag liggen aan de vastlegging van persoonsgegevens. De bewijslast hiervoor ligt volledig bij de organisatie die de persoonsgegevens verwerkt. Met andere woorden, als organisatie moet je uit kunnen leggen waarom je bepaalde persoonsgegevens nodig hebt. Indien deze uitleg onvoldoende is, of zelfs volledig ontbreekt, dan mogen de gegevens niet worden vastgelegd. Sterker nog, toestemming voor verwerking van persoonsgegevens is altijd context gebonden: gegevens die je voor de levering van een bepaald product of dienst nodig hebt (en dus legitiem vastlegt), mag je niet gebruiken voor de levering van andere producten of diensten. Bovendien hebben consumenten het recht om op elk willekeurig moment hun toestemming om hun gegevens te verwerken in te trekken. Als organisatie heb je dan de plicht om dit direct en zichtbaar uit te voeren. Wij verwachten dat veel organisaties als reactie hierop kritisch bij zichzelf te rade zullen gaan welke gegevens zij echt nodig hebben. Immers, als je gegevens vastlegt die je niet zou mogen vastleggen omdat het niet behoort, dan overtreed je daarmee de wet. Bovendien dien je zorg te dragen voor een mogelijkheid voor consumenten om die gegevens te kunnen verwijderen.

3. Data Portability
Een consument heeft het recht op inzage in de gegevens die elektronisch van hem zijn vastgelegd. Hij moet deze gegevens kunnen opvragen zonder afhankelijk te zijn van de organisatie die zijn gegevens heeft vastgelegd. Wat dit in de praktijk waarschijnlijk gaat betekenen is dat organisaties klanten een actueel inzicht moeten gaan geven in alle vastgelegde persoonsgegevens via bijvoorbeeld het klantenportaal. Consumenten hebben daarnaast het recht hun gegevens ‘door te laten geven’ van de ene organisatie naar de andere.
Stel dat u als organisatie van internetprovider verandert en uw contract opzegt bij leverancier A, dan is leverancier A verplicht ervoor te zorgen dat alle persoonsgegevens worden overgedragen aan leverancier B.

4. Datalek
Binnen 72 uur nadat een datalek heeft plaatsgevonden (een datalek is elke situatie waarbij persoonsgegevens zijn verwerkt zonder dat er een geldige reden aan ten grondslag lag!), dient de organisatie die hiervoor verantwoordelijk is een melding te maken bij de DPA.
Die bepaalt daarna de impact: Hoeveel consumenten/organisaties ervaren de consequenties van het datalek?
Alle datalekken dienen bijgehouden te worden in een openbaar register.
Met de Wet Meldplicht Datalekken heeft Nederland alvast een voorschot genomen op deze verplichting.

5. Data Protection Impact Assesment
Voor alle processen waarbij grote risico’s kleven aan de verwerking van de persoonsgegevens (soort gegevens, verhoogde kans op een datalek etc.), dient een organisatie een Data Protection Impact Assessment (DPIA) uit te voeren. In dit DPIA moet onder andere staan om welk proces het gaat, welke risico’s er aan dit proces kleven, waarom de persoonsgegevens op deze manier worden verwerkt en welke mitigerende maatregelen getroffen zijn. Het DPIA lijkt vooral te dienen om organisaties te dwingen actief invulling te geven aan hun zorgplicht. Zij geven vooraf aan welke processen als risicovol gezien worden en wat zij gaan doen om de kans te minimaliseren dat deze risico’s zich inderdaad voordoen.

6. Data Protection by Design and by Default
Elke organisatie moet zichtbaar maken dat zij zowel bij het design (nieuwe software, nieuwe data analysetechnieken etc.) maar ook bij de standaard inrichting (welke persoonsgegevens worden opgevraagd), het minimaliseren van het gebruik van persoonsgegevens centraal gesteld heeft. Dit moet bovendien worden aangetoond in een DPIA. Dit proportionaliteitsprincipe heeft grote impact op testen: de eis dat de gebruikte set aan gegevens aansluit bij het doel dat wordt gediend, betekent feitelijk dat per testsoort moet worden gekeken welke data strikt noodzakelijk is.

7. Data Protection Officers
Grotere organisaties (niet MKB), worden verplicht een Data Protection Officer aan te stellen. Hij/zij is verantwoordelijk voor het toezien op een juiste naleving van de GDPR door de organisatie.

8. Sancties
De sancties gaan fors omhoog, onder de Wbp kan de AP organisaties een boete opleggen van maximaal 820.000 euro. Onder de GDPR gaat dit bedrag omhoog naar 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt).

9. Gepseudonimiseerde data
In de GDPR wordt het concept ‘gepseudonimiseerde data’ geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving. Met gepseudonimiseerde data wordt data bedoeld die zo bewerkt is dat ze niet meer herleidbaar is naar een uniek individu. Het slim maskeren van persoonsgegevens is een voorbeeld van gepseudonimiseerde data.

In eenvoudigere taal, is gepseudonimiseerde data een vorm van data encryptie.

Féju heeft samen met Sophos als security partij, perfecte en geautomatiseerde oplossingen om data encryptie op verschillende manier binnen de organisatie toe te passen.

Middels Windows Bitlocker of Apple Mac Filevault, kan met Sophos Safeguard een volledige disk encryptie van een werkplek op de achtergrond plaatsvinden zonder dus u als gebruiker hier iets voor hoeft te doen.

Eenmaal goed ingeregeld, is uw werkplek binnen Sophos Central beheerd en heeft u er geen omkijken meer naar.
Daarnaast kunt u nog kiezen voor opties zoals bestandsencryptie, waardoor ook data buiten uw werkplek op bijvoorbeeld USB sticks encryptie zal bevatten.

Samenvatting

De afgelopen periode is de wetgeving op het gebied van privacy al fors aangescherpt, maar met de aanstaande invoering van de GDPR wordt het opnieuw strenger. Van organisaties wordt verwacht dat zij zichtbaar maken dat zij zorgvuldig omgaan met persoonsgegevens.

Organisaties moeten bijvoorbeeld laten zien dat:
– Zij slechts de absoluut minimale set aan persoonsgegevens vastleggen;
– Er een duidelijk doel ten grondslag ligt aan de verwerkte persoonsgegevens;
– Consumenten/organisaties te allen tijde inzicht hebben in de van hen vastgelegde gegevens;
– Er ondubbelzinnige toestemming is van de betrokken consument of organisatie om de gegevens te verwerken;
– Deze toestemming op elk moment ingetrokken kan worden;
– Er bij voorkeur getest of beter nog, gewerkt wordt met gepseudonimiseerde (gemaskeerde) data;
– De omvang van de gebruikte testset aansluit bij het beoogde doel.

Het niet naleven van de GDPR kan worden bestraft met een sanctie van 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt). Onze verwachting is dat de GDPR voor veel organisaties aanleiding zal zijn nog eens kritisch te kijken naar hoe zij nu omgaan met persoonsgegevens.
– Hoe wordt software bijvoorbeeld ontworpen en getest?
– Maskeer je bijvoorbeeld de persoons en-/of bedrijfsgegevens van uzelf maar ook van uw klanten?
– Wat als mijn laptop, tablet of smartphone gestolen worden of kwijt raakt? Is dit een datalek of een bedrijfsrisico?
– Is het plaatsen van gevoelige gegevens in Onedrive, Dropbox of andere “onbeschermde” consumentoplossing wel zo verstandig?

Belangrijke kern -en trefwoorden in het geheel zijn:
– Awareness; oftewel bewustwording van risico’s om omgaan met data van uzelf en anderen
– Procesanalysering
– Data en apparaat encryptie (bestandsencryptie en versleutelen van hardware)
– Email encryptie
– 2e factor authenticatie; naast uw username en wachtwoord, gebruik van unieke code.
– Lokaliseren en logging van data
– Preventie tegen cybercrime;
– Next-Generation firewalls
– Endpoint bescherming, Anti-virus en Anti-Ransomware
– Server bescherming, Anti-virus en Anti-Ransomware
– Mobiele bescherming
– En nog vele andere optimalisaties…

Meer weten?

Deze vragen en kernwoorden worden steeds relevanter naarmate de datum van 25 mei 2018 dichterbij komt. Féju gaat graag met u om tafel om IT-gerelateerde zaken met u door te nemen. Naast IT, kunnen wij ook meedenken op gebied van bepaalde processen waarbij automatisering er juist voor kan zorgen dat menselijke factoren beperkt kunnen worden. Neemt u contact met ons op voor meer informatie, bijvoorbeeld door te bellen naar 013- 511 50 88.