Print:

Uitkomst van Privacy Impact Assessment (PIA) negeren is riskant

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

8 dingen die je moet doen na een PIA

Bedrijven en organisaties die persoonsgegevens verwerken kunnen niet om een Privacy Impact Assessment (PIA) heen. 8 dingen die je moet doen na het uitvoeren van zo’n assessment.

Met de komst van de meldplicht datalekken per 1 januari volgend jaar, wordt bescherming van privacygevoelige informatie alleen maar belangrijker. Blijkt de beveiliging niet op orde, dan kunnen de boetes voor zowel organisaties als bedrijven oplopen tot ruim 800 duizend euro of maximaal 10 procent van de omzet van een organisatie. “Door de hoge boetes neemt de animo om een PIA uit te voeren zeker toe. Twee jaar geleden had nog niemand gehoord van een PIA. Nu voeren we regelmatig een PIA uit”, zegt Micha van der Vliet, Privacy en Security expert bij IT-dienstverlener AuditConnect. Bedrijven die de uitkomst van een PIA naast zich neerleggen lopen niet alleen kans op hoge boetes. Ook imagoschade en hoge kosten, omdat systemen later alsnog moeten worden aangepast, liggen op de loer.

Privacy niet hoog op de agenda

Ondanks de risico’s hebben veel bedrijven privacy nog niet hoog op de agenda staan, stelt Van der Vliet. “Privacy is niet niet sexy, niemand vindt het leuk, het levert niets op en je hebt er eigenlijk alleen maar last van. Maar je hebt het echt nodig om goed te kunnen functioneren als bedrijf. De volwassenheid bij bedrijven op het gebied van privacy is erg laag, maar je moet ergens beginnen”, zegt de Privacy en Security expert.

Maatregelen na een PIA

De uitkomst van een PIA is per bedrijfstak verschillend. Een organisatie die camerabeelden wil gebruiken moet aan hele andere wet –en regelgeving voldoen dan een verzekeraar of een accountantskantoor. Afhankelijk van het resultaat van de Privacy Impact Assessment, is er een aantal maatregelen die genomen kunnen worden.

1. Doelbinding
Gebruik alleen persoonsgegevens die echt nodig zijn voor een vooraf gestel doel.

2. Dataminimalisatie
Beoordeel of de gegevens die gebruikt worden ook echt nodig zijn (need-to-know). Voor privacy geldt ‘Het minimale is het maximale’. Laat de overbodige en overbodige gegevens dus weg.

3. Beveiliging van gegevens
Denk aan encryptie. Gegevens die niet kunnen worden gedecrypt, vallen niet onder de meldplicht datalekken. Ook kan gedacht worden aan logische toegangsbeveiliging (LTB). Hiermee krijgen alleen geautoriseerden toegang tot gegevens en applicaties.

4. Scheiden van gegevens
Persoonsgegevens worden wel verwerkt, maar identificerende persoonsgegevens in een database worden losgekoppeld van de overige persoonsgegevens. Door gegevens los te koppelen en ze afzonderlijk onder te brengen in een identiteitsdomein en een pseudo-identiteitsdomein, wordt oneigenlijk gebruik sterk bemoeilijkt.

5. Anonimiseren van data
Vervang alle verwijzingen naar persoonsgegevens in databestanden door gegenereerde code. De codelijst dient te worden bewaard in een beveiligde omgeving.

6. Gebruik geen persoonsgegevens
Voer geen testen meer uit met persoonsgegevens in testomgevingen.

7. Pseudonimiseren
Identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd. Daarin onderscheidt pseudonimiseren zich van anonimiseren, waarbij het koppelen op persoon van informatie uit verschillende bronnen niet mogelijk is. Zet bijvoorbeeld data in andere tabellen zodat iemand die toegang heeft tot een bepaalde tabel geen toegang heeft tot alle informatie.

8. Monitoren
Is de PIA uitgevoerd, dan kan niet rustig achterover worden geleund. Als wet –en regelgeving verandert, kan het nodig zijn systemen aan te passen. Op dit vlak valt volgens Privacy en Security expert Van der Vliet nog de nodige wist te behalen. Veel bedrijven blijken na een eenmaal uitgevoerde PIA niet of nauwelijks meer te monitoren.

Van der Vliet betreurt het dat het College Bescherming Persoonsgegevens zich strikt op handhaving toelegt. “Als je het CPB probeert te bellen met een vraag, wordt er geen antwoord gegeven. Je moet zaken dus zelf interpreteren of op basis van jurisprudentie bekijken hoe je dingen moet aanpakken.” De Privacy en Security expert verwacht dat de bewustwording rond privacy bij bedrijven de komende tijd alleen maar zal toenemen. “Bedrijven realiseren zich dat privacy,net als security, steeds meer een businessrisico wordt. Aanvankelijk werd security ook niet interessant gevonden, maar daar ziet iedereen het belang nu ook van in. Met privacy gaan we dezelfde kant op.”