Blog

Datacenter

De 6 belangrijkste aandachtspunten bij bescherming persoonsgegevens

21 jun 2017

De berichtgeving over de GDPR (General Data Protection Regulation) is niet te stoppen. Vooral fabrikanten van producten die te maken hebben met security en dataprotectie grijpen de wetswijziging aan om hun producten onder de aandacht te brengen. Op zich is dat ook goed natuurlijk, want de wet Meldplicht Datalekken bestaat al meer dan een jaar en zal vanaf 25 mei 2018 ook nageleefd worden op Europees vlak met eventuele sancties. Het gaat hierbij om de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels). Maar waar gaat het nu eigenlijk om? En waar moet je aan denken bij het naleven van deze wet- en regelgeving?

Bert Hoving door Bert Hoving

Recente onderzoeken hebben inmiddels aangetoond dat veel organisaties nog niet of niet volledig voorbereid zijn op de strenge regels met betrekking tot bescherming van persoonsgegevens. Wat zijn de belangrijkste punten waar organisaties aan moeten voldoen als het gaat om persoonsgegevens? Hieronder bespreek ik een (weliswaar niet complete) opsomming van enkele aandachtspunten.

1. Ga bewust om met persoonsgegevens

Zorg ervoor dat bestuurders, sleutelfiguren en medewerkers die met persoonsgegevens omgaan zich bewust zijn dat er juist met de gegevens wordt omgegaan. Dit betekent dus dat je geen vertrouwelijke data bewaart die je niet echt nodig hebt. Denk hierbij aan identificeerbare gegevens zoals BSN, paspoortnummer, enzovoorts. Houd deze gegevens gescheiden van de persoonsgegevens en deel geen persoonsgegevens met anderen (via e-mail bijvoorbeeld) als dat niet nodig is.

2. Toestemming vragen voor opslag persoonsgegevens

Zorg ervoor dat de personen waar gegevens van worden opgeslagen daar actief toestemming voor geven. Geef daarbij aan waarvoor het dient, welke bewaartermijn wordt gehanteerd, of en met wie de gegevens worden gedeeld. Bied de mogelijkheid aan de personen alle gegevens in te zien en te wissen.

3. Gegevensbeschermingseffectbeoordeling

Voer met een zogenaamd gegevensbeschermingseffectbeoordeling een onderzoek uit en ga na welke persoonsgegevens worden verwerkt, of er in overeenstemming met de AVG wordt gehandeld en wat het risico is. Bepaal de maatregelen die genomen moeten worden om de gegevens te beschermen. Leg de werkwijze vast en stel een privacy officer aan die rechtstreeks aan de bestuurder rapporteert, want de bestuurder van een organisatie is hoofdelijk aansprakelijk. Deze privacy officer controleert of er correct wordt omgegaan met persoonsgegevens.

4. Verantwoordelijkheid persoonsgegevens ligt bij de verzamelaar

Zorg ervoor dat er een bewerkersovereenkomst wordt afgesloten met leveranciers en onderaannemers die als bewerker worden aangemerkt volgens AVG. Bewerken is hier het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De verantwoordelijkheid van de bescherming van de persoonsgegevens ligt altijd bij de organisatie die de persoonsgegevens verzamelt en niet bij de bewerker. Het is dus belangrijk zorgvuldig om te gaan met selectie van de bewerker en het is aan te bevelen dat de bewerker zelf gecertificeerd is (zoals ISO 27001 informatiebeveiliging). Het voordeel is dan dat de controle van de naleving van informatiebeveiliging richtlijnen in de certificering is opgenomen en dat je als opdrachtgever de bewerker niet zelf hoeft te controleren.

5. Privacy by design vs. Privacy by default

Bescherm de persoonsgegevens volgens privacy by design en privacy by default. Privacy by design betekent dat de IT-systemen en applicaties de persoonsgegevens standaard op het hoogste niveau beveiligen. Daarnaast hoeven de gebruikers van de systemen geen extra handelingen te verrichten om de gegevens te beschermen. Privacy by default betekent dat er standaard zo min mogelijk gegevens worden verwerkt. Gebruik voor een testomgeving geen identificeerbare persoonsgegevens. Beschermen van gegevens gaat niet alleen over de vertrouwelijkheid van de gegevens, maar ook over de beschikbaarheid en integriteit van de gegevens.

Whitepaper AVG WAN verbindingen

6. Datalekken altijd melden bij de Autoriteit Persoonsgegevens

Meld een datalek zo snel mogelijk bij de Autoriteit Persoonsgegevens (AP). Voorbeelden van een datalek zijn bijvoorbeeld een gestolen laptop, verloren USB-stick of smartphone (als daar persoonsgegevens op staan), aanval van een hacker, et cetera. Het melden van een datalek bij de AP heeft voor- en nadelen. Het nadeel is dat er een kans is op een boete en imagoschade, maar de voordelen zijn dat je daarna niet meer door de personen waar de gegevens van zijn gelekt aansprakelijk gesteld kan worden. Overigens zal een boete alleen worden opgelegd bij aantoonbare nalatigheid. Ook als de gegevens versleuteld zijn, is het verplicht het datalek te melden bij de autoriteit. De betrokken personen waar de gegevens van gelekt zijn hoeven niet geïnformeerd te worden over het lekken van hun persoonsgegevens, als aangetoond kan worden dat door versleuteling geen gegevens te achterhalen zijn. De imagoschade is vaak veel groter dan de materiele schade (boete) als een groot aantal betrokkenen op de hoogte gesteld moeten worden.

Als Telindus datamanagement als dienst levert aan klanten, dan is Telindus een bewerker volgens de AVG. Dit betekent dat je als klant van Telindus een bewerkersovereenkomst afsluit met Telindus. Je bent als verantwoordelijke van de persoonsgegevens verplicht de bewerker te controleren op de naleving van AVG, maar dat is  eenvoudig door je te laten informeren over ISO/NEN/ISAE-certificeringen met betrekking tot informatiebeveiliging en over het te gebruiken ontwerp van de infrastructuur en software (Privacy by design en Privacy by default).

Geïnteresseerd?

Bert Hoving
Neem contact op met onze specialist Bert Hoving

Bert Hoving is pre-sales Consultant bij Telindus. In deze functie adviseert hij vooral non-profit organisaties op het kennisgebied van storage- en datacenter infrastructuren en datamanagement- en protectie. Door de ervaring die hij gedurende tientallen jaren heeft opgebouwd rond storage en datamanagement, waarvan ruim zeven jaar bij Telindus, kan je spreken van een specialist met brede kennis van de uitdagingen in de markt, de oplossingen en de spelers. Deze kennis past hij dan ook toe bij de beantwoording van Europese Aanbestedingen voor datacenter infrastructuren en zogenaamde converged infrastructures voor gemeentes, hogescholen, universiteiten en andere instanties.

Doordat Bert de functionele behoefte van organisaties goed begrijpt, is hij als consultant uitstekend in staat deze te vertalen naar de meest optimale oplossing tegen de laagste kosten. Het resultaat hiervan is een oplossing met een lagere TCO, eenvoudiger beheer, een betere bezettingsgraad en een oplossing die klaar is voor de cloud.

Een groot deel van zijn vrije tijd besteedt Bert aan zijn drie windhonden.

geen reacties
Plaats een reactie