Print:

Vier inzichten over dataprotectie om direct mee aan de slag te gaan

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Tijdens de trainingen, opleidingen en congressen van IIR delen docenten en praktijkdeskundigen de laatste kennis over privacy, dataprotectie en security. We zetten vier inzichten en adviezen van onze experts op een rij.

Let op de bijzondere persoonsgegevens

Dataprotectie & Privacy gids | IIRDe zogenoemde bijzondere persoonsgegevens – die bijvoorbeeld iets zeggen over iemands godsdienst, levensovertuiging, ras, politieke voorkeur, gezondheid of seksuele leven – zijn geen noviteit van de Algemene Verordening Gegevensbescherming (AVG). Ook de Wet bescherming persoonsgegevens (Wbp) kende al een speciaal regime voor dit type gegevens. Net als voorheen is de verwerking van bijzondere persoonsgegevens ook in de AVG verboden, tenzij er sprake is van een van de in de wet genoemde uitzonderingen. Maar de AVG brengt wel een aantal belangrijke aandachtspunten mee, benadrukt Miranda Top-Sarneel, advocaat-medewerker bij Ploum en spreker tijdens het Dataprotectie & Privacy Congres. “De AVG stelt hogere eisen aan organisaties die bijzondere persoonsgegevens verwerken.” Zo geldt bij de verwerking van bijzondere persoonsgegevens de verplichting om een Data Protection Impact Assessment (DPIA) uit te voeren. Bovendien zijn organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. “Ook moet je bij een lek van bijzondere persoonsgegevens altijd de betrokkenen informeren.” Bij een datalek moeten organisaties dus het onderscheid kunnen maken tussen ‘normale’ en bijzondere persoonsgegevens.

Volgens Top-Sarneel is de grootste uitdaging om bijzondere persoonsgegevens te herkennen. “We hebben vaker met bijzondere persoonsgegevens te maken dan we ons realiseren.” Voorbeelden zijn foto’s, uitkomsten van assessments, registraties van ziekteverzuim en het BSN. “Als het om een ‘gevoelig gegeven’ gaat, dan is voorzichtigheid op zijn plaats”, zo geeft Top-Sarneel als algemene leidraad. “Of een gegeven ‘privacygevoelig’ is, is overigens heel subjectief. Dat is het leuke en tegelijkertijd ook het lastige van het privacyrecht. Om een goede afweging te kunnen maken tussen normale en bijzondere persoonsgegevens is boerenverstand nodig.”

Ga veilig in de cloud

Klinkt cloudcomputing als een ver-van-mijn-bedshow? Dat is dan onterecht. Er zijn nauwelijks bedrijven en organisaties die niet op een of andere manier in de cloud zitten, stelt Peter van Schelven, docent van onder meer de vierdaagse verdiepingscursus Cloud & Recht. De stap naar de cloud is in veel situaties het automatische gevolg van de keuze om bepaalde extern draaiende applicaties te gebruiken. Daarnaast komt de cloud in beeld als er taken op het vlak van geautomatiseerde informatievoorziening worden uitbesteed. In alle gevallen betekent de komst van de AVG dat opdrachtgevers van cloud-providers te maken krijgen met een nieuwe set speelregels. Cloud-providers zijn doorgaans zogeheten verwerkers en dat impliceert onder meer dat er met deze partijen een verwerkersovereenkomst moet worden afgesloten. De AVG schrijft uitvoerig voor wat er allemaal in zo’n schriftelijke overeenkomst komt te staan.

Peter van Schelven | IIR“Het begint met professioneel vendor-management”, adviseert Schelven. “De Europese regels zeggen dat je alleen met een verwerker in zee mag gaan als die voldoende technische en organisatorische maatregelen biedt om de privacy van de burger te waarborgen. Dat noopt dus tot het ontwikkelen en toepassen van criteria om een goede verwerker te selecteren. Inkoop van cloud-diensten kan niet langer zonder goede selectie-eisen.”

Volgens de AVG mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar de opdrachtgever blijft uiteindelijk verantwoordelijk voor de naleving van de wet. Schelven geeft het voorbeeld van een datalek: “Datalekken kunnen het gevolg zijn van benedenmaatse security en in dat geval ben je als bedrijf of organisatie in beginsel aansprakelijk als de burgers waarop de gelekte data betrekking hebben, schade ondervinden. Dat is ook zo als het datalek niet bij jouw eigen bedrijf of organisatie plaatsvindt, maar bij de door jou ingeschakelde cloud-provider.” Gedupeerde burgers kunnen bovendien zelf kiezen bij wie een schadevergoeding wordt ingediend, bij de cloud-provider of de opdrachtgever daarvan. “Dus: als een ziekenhuis mijn patiëntgegevens lekt, dan mag ik het ziekenhuis aanspreken, maar ook de door het ziekenhuis ingeschakelde hostingbedrijf als dat achter die lek zit.” Wie overweegt in de cloud te gaan, doet er dan ook goed aan om met providers heldere afspraken te maken over aansprakelijkheid, verzekeringen en schadevergoedingen bij datalekken.

Benut de kansen van audits

Een register van verwerkingsactiviteiten opzetten. DPIA’s uitvoeren. Privacy-awarenessprogramma’s ontwikkelen. Met de komst van de AVG komt er een heleboel op privacyprofessionals af. Daarbij speelt auditing een belangrijke rol, zegt Jean Paul van Schoonhoven, directeur van adviesbureau Legal2Practice en docent van IIR-trainingen zoals Auditing Privacy en Privacy Officer 2.0. Zo kunnen audits helpen om aan te tonen dat de formele verplichtingen uit de AVG, zoals het verwerkingsregister en de verwerkersovereenkomsten, op orde zijn gebracht. Daarnaast bieden audits inzicht in zaken die nog moeten worden opgepakt.

In het veranderende landschap van dataprotectie is auditing niet eenvoudig, geeft Van Schoonhoven toe. Organisaties staan onder het regime van de AVG voor de opgave om onderbouwde keuzes te maken, die rekening houden met de abstracte normen uit de wet. De uitdaging in de praktijk bij het uitvoeren van een privacy audit is het vinden en bepalen van de normen- en afwegingskaders waar een organisatie rekening mee moet houden bij het invullen van de open en vage normen op grond van de AVG. Hoe beoordeel je of de visie van een organisatie of een onderbouwing adequaat en passend is, als dat normenkader niet vindbaar of niet eenduidig is bij het toetsen van een open norm?” Samenwerking tussen auditors en privacy officers ligt dan ook voor de hand.

Denk aan compliance én resilience

Jean Paul van Schoonhoven | IIR“Je securitypractices kunnen nog zó goed zijn, er hoeft maar één medewerker met een kwade intentie te zijn die je hele klantbestand online zet, of juist een medewerker die uit onwetendheid hetzelfde doet, en je hebt een levensgroot probleem”, waarschuwt Jean Paul van Schoonhoven. Met de invoering van de meldplicht datalekken in 2016 zijn bedrijven zich steeds meer bewust van deze risico’s. Omdat toezichthouder Autoriteit Persoonsgegevens (AP) op grond van de AVG forse boetes kan uitdelen, staat compliance hoger dan ooit op de agenda.

Volgens Van Schoonhoven is het onmogelijk om met traditionele middelen zoals juridische checks, IT-security en policy controls alles in de hand te hebben om data te beschermen. “Je moet méér doen dan alleen juridisch compliant zijn. Je moet veelal de hele veiligheidsstructuur van je bedrijf verbeteren en de cultuur en het gedrag van medewerkers veranderen.” Daarom wordt er tijdens een risk assessment nadrukkelijk gekeken naar hoe goed een organisatie is voorbereid op incidenten en hoe word gereageerd op bijvoorbeeld datalekken. Dergelijke resilience is er niet van de ene op de andere dag – het vraagt om een lange adem. Maar dat geldt natuurlijk net zo goed voor de implementatie van de AVG.

Geïnspireerd geraakt om als privacyprofessional meer te weten over security? Volg dan praktijkcursus Security voor privacyprofessionals.

Twee dagen lang talloze inzichten van uiteenlopende privacy- en securitydeskundigen horen? Kom dan op 26 en 27 september 2018 naar de zesde editie van het Dataprotectie & Privacy Congres.

Dataprotectiegids | IIR

 

Meer informatie?

Laat uw e-mail achter en ontvang de Dataprotectie & Privacy gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten