Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

GDPR versimpeld

25 Mei 2018 moeten alle Nederlandse organisaties voldoen aan de General Data Protection Regulation (GDPR). Omdat deze Europese privacywetgeving uit een hoop tekst bestaat, vat ik het hier op een simpele manier samen.

Wat wordt er van elke Europese organisatie verwacht?

  1. Ieder persoon over wie je data op wilt slaan, moet expliciet toestemming hiervoor geven;
  2. Je geeft aan welke data je over die persoon opslaat en om welke reden;
  3. Daarnaast communiceer je met ieder persoon over wie je data opslaat, met welke andere organisaties je deze data deelt;
  4. Het is de verantwoordelijkheid van de organisatie om de persoonsgegevens te beschermen tegen lekken en misbruik;
  5. Als je deze data deelt met andere organisaties moet je een bewerkersovereenkomst sluiten met deze organisaties;
  6. Je blijft altijd verantwoordelijk over de persoonsgegeven die je opslaat en verwerkt. Je bent verplicht te controleren of de organisaties met wie je bewerkersovereenkomsten sluit, dat deze persoonsgegevens zorgvuldig beschermen tegen onbedoelde toegang;
  7. Ieder persoon waarover je data opslaat, heeft het recht deze data in te zien, ofwel; recht op inzage;
  8. Als je als organisatie gegevens over personen deelt met anderen, bijvoorbeeld op een forum of zoekmachine, dan heeft deze persoon in bepaalde gevallen het recht om vergeten te worden.

That’s it! Als je hieraan voldoet, kun je niet gestraft worden voor het lekken van data. Overigens ben je wel verplicht als er een data-lek optreedt om dit te melden aan de autoriteit persoonsgegevens (AP)

Als je deze bondige manier van communiceren goed vindt, geef dat dan aan. Ik zal de komende maanden in heldere hapklare brokken aangeven wat je als organisatie kunt doen om GDPR-compliant te zijn. Gewoon concreet. Natuurlijk zijn er veel details, maar alles draait om de basis die ik zonet beschreven heb.

Heb je vragen voor een follow-up? Plaats deze als commentaar hieronder.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5982536). © Jaarbeurs IT Media.
7,3

 

Reacties

Duidelijk. Ik kijk uit naar de volgende aflevering

De realiteit versimpeld.
Henri in zijn element.
Toegeven, ik houd er ook wel van. Anders is het tenslotte een hoop tekst.
Maar hoe weet je of iets correct is ? Een universele vraag : https://www.youtube.com/watch?v=V2h8fKTb_tU

Leuk startpunt! 1 aanvulling, je mag gegevens alleen gebruiken waar je ze voor gekregen hebt. Dit betekent dus ook dat je klantdata niet in een test of analyse omgeving mag gebruiken! Doe je dat wel en er ontstaat een datalek, dan heb je iets uit te leggen richting de toezichthouder.

Dag Eric,

Thanks voor je aanvulling. Overigens zeg ik het wat minder expliciet in punt 2:
"2. Je geeft aan welke data je over die persoon opslaat en om welke reden"

Als daar bij staat voor analyse, bijvoorbeeld om betere suggesties in de nieuwsbrief te geven voor je volgende aankoop, dan is daar verder niets mis mee. Zelfde geldt - in mijn ogen - ook voor testen. Althans, ik heb niet kunnen vinden dat dit expliciet uitgesloten wordt. Er zit natuurlijk heel veel "ruimte" in de verordening en uiteraard geldt als de test-omgeving slechter bewaakt wordt of andere partijen daar ook toegang toe hebben, je moet nog steeds voldoen aan de regels.

Juist door met elkaar hierover te communiceren komen we wellicht tot inzichten hoe we op een effectieve wijze GDPR-compliant worden. En als jij dit anders ziet, kunnen we het wellicht vastpinnen met de juiste artikelen.

Hier is de passage/het relevante artikel uit de Nederlandse versie van de verordening (en om een beeld te schetsen van de details zoals de GDPR is opgebouwd):

Afdeling 2: Persoonsgegevensbeveiliging
Artikel 32:

Beveiliging van de verwerking
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context
en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden
van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische
maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het
volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens; 4.5.2016 NL Publicatieblad van de Europese Unie L 119/51
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

Leuke discussie!

In het artikel dat jij aanhaalt, wordt onder lid 1a bijvoorbeeld aangegeven dat je gegevens waar mogelijk moet pseudonimiseren. Dit sluit ook goed aan bij het subsidiariteitsprincipe dat ten grondslag ligt aan de GDPR. Kort gezegd komt dit er op neer dat je altijd de qua privacy minst belastende optie moet kiezen. Dus als je kunt testen of analyses kunt doen met gespeudonimiseerde persoonsgegevens in plaats van echte persoonsgegevens dan moet je dit doen. Daarnaast dien je vanuit de GDPR privacy by design vorm te geven waarin o.a. gesteld wordt dat je alleen die gegevens verwerkt die strikt noodzakelijk zijn voor jouw doel.

De Autoriteit Persoonsgegevens is hier als toezichthouder (nu nog van de Wbp) overigens nog meer uitgesproken in, op hun site staat bij veel gestelde vragen: "Mag ik testen met persoonsgegevens", het antwoord is "Nee, dat mag niet."

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens

Eric,

Het zijn inderdaad goede gewoontes die de kansen op datalekken verkleinen. Ook mag AP afwijken van de Europese verordening om het makkelijk te houden :-)

Het valt onder goed ondernemerschap om de kansen of lekken te voorkomen en dit moet inderdaad onderdeel worden van je DNA.

Persoonlijk ben ik wel iets milder over hoe en wanneer je welke maatregelen toepast, liever leg ik de nadruk op bewustwording en groeien naar privacy by default en design.

Waar ik de nadruk op wil leggen is dat het niet enorm complex hoeft te zijn en dat je stap voor stap naar "het juiste doen" moet groeien. Het doel is betere beveiliging en bewustwording van beschermen van persoonlijke data en meer controle daarop als we bijvoorbeeld met Amerikaanse providers werken.

Ik wil digitale cursussen ontwikkelen om de diverse doelgroepen binnen organisaties te helpen GDPR-compliant te worden op een manier dat het juist iets extra's oplevert en niet alleen gezien worden als een moetje. Omgaan met analyse en testen lijkt me daar een interessant onderdeel in wat dan vooral voor een beperkte doelgroep belangrijk is. (Data protection officer / BI-techneut die beiden iets anders voorgeschoteld krijgen.)

Ik zie op je profiel dat je ervaren bent met dit proces :-) Neem aan dat je dit met een vorm van hashing doet ;-)

Henri,

Ik ben het helemaal met jou eens dat het een groeipad is. De praktijk is bijna nooit zwart-wit en het start sowieso met bewustwording. Alle initiatieven die daaraan bijdragen (en die organisaties laten inzien dat compliancy geen kostenpost is maar juist geld kan opleveren), juich ik toe.

Door via digitale cursussen bewustwording te creëren, help je organisaties absoluut verder in dit proces.

Wat wij vaak zien is dat organisaties compliant worden als moeilijk, lastig en ingewikkeld zien terwijl ik denk dat het juist iets is waar je stapsgewijs naar toe moet groeien. Door er mee te beginnen creëer je dan een soort olievlek waarin ze zien wat het oplevert.

Het klopt dat wij hier weleens wat mee gedaan hebben ;-) En hashing is een van de vormen, maar we gebruiken daar ook andere oplossingen voor.

Hoi,

Ik heb even een vraagje, de toezichthouder is verantwoordelijk voor dat de GDPR wordt nageleefd maar wie controleert hierop dat de GDPR wordt gehanteerd binnen een organisatie?

Voor de brandveiligheid van gebouwen heb je de NEN8012; normontwerp voor brandclassificatie elektrische kabels als onderdeel van de europese CPR (Construction Products Regulation).

Er is geen instantie die gebouwen gaan controleren op deze norm, dat is volgens mij iets tussen aannemer en eigenaar.

Als er echter incidenten plaats vinden er er blijkt verkeerde kabels gebruikt te zijn, dan kan de aannemer of opdrachtgever aansprakelijk gesteld worden.

zo is het ook met GDPR. Als er dingen mis gaan begint er pas iets te werken, maar AP gaat niet pro-actief kijken of bedrijven wel volgens de GDPR werken. Of dat is mij in ieder geval niet bekend.

De auditor (zowel intern als extern) heeft hier ook een belangrijke rol in. Voor de ISO 27001- of NEN 7510- certificering wordt door de auditor gekeken of de informatiebeveiliging op orde is en in lijn met wet- en regelgeving. Als je je als organisatie niet aan de Wbp of straks de GDPR/AVG houdt, ben je niet compliant en zal een auditor geen certificering afgeven. Ook de accountant kijkt hier naar, maar dan vooral vanuit risicoperspectief: niet compliant zijn brengt een risico op boetes met zich mee en daar moet je werkkapitaal voor aanhouden.

Complimenten voor de korte samenvatting.
Ik zie staan : That’s it! Als je hieraan voldoet, kun je niet gestraft worden voor het lekken van data. Volgens mij kan je wel aansprakelijk gesteld worden voor het lekken van data als je een datalek niet tijdig hebt gemeldt!
Wat ik ook mis is dat je als organisatie moet aantonen dat je voldoet aan de wetgeving. Het is dus niet zo dat er iemand een organisatie gaat controleren.
Ten aanzien van het delen van informatie ga je kort door de bocht....je moet ook toestemming hebben om data te delen en de degene die van de data gebruik gaat maken moet ook weer toestemming hebben van de persoon waarvan jij de data hebt gedeeld.

Nog even over de NEN8012....ook daar moet zowel de opdrachtgever als de aannemer aantonen dat de juiste kabels worden toegepast...er komt dus niemand controleren. Pas Toe of Leg UIt beleid.

Dag Willem,

Goede aanvulling. Je moet inderdaad lekken wel melden. En ja, naast de dingen die je moet doen uit de opsomming, moet je wel aan kunnen tonen dat je ze gedaan hebt. Er is dus een stukje vastleggen nodig, of zoals Eric schrijft; het moet ge-audit kunnen worden.

Over het delen van informatie. Uiteraard ga ik wat kort door de bocht. Als ik alle detail vermeld kom je al snel in grote stukken tekst terecht. Doel is vooral om de scope te beschrijven op een begrijpelijke manier.

Overigens gaat punt 1 over toestemming vragen aan de persoon over wie je data opslaat. Daar vermeld je ook met wie je de data deelt of welke organisaties data gaan verwerken en met welke reden. Het is in mijn ogen niet nodig dat als ik persoonsgegevens laat verwerken door partij X (bijvoorbeeld doordat mijn provider voor veilige data opslag zorgt) dat partij X ook toestemming moet vragen aan de persoon over wie data wordt opgeslagen. Ik neem immers de verantwoordelijkheid over deze data. Maar goed details en processen hierom heen zou ik graag per punt in een nieuw artikel willen verwerken zodat er een begrijpelijk beeld ontstaat hoe organisaties kunnen voldoen aan de GDPR. GDPR is te kort door de bocht om compleet te zijn, het gaat dan ook niet direct om de letters van de regulering, maar om de geest erachter. Als je deze centraal stelt en hierna handelt hoef je niet veel hiervan te vrezen.

En zoals je schrijf; pas toe en leg uit. Met een goed verhaal en onderbouwing kom je een heel eind.

"Als je hieraan voldoet, kun je niet gestraft worden" is - ook voor een versimpeling - een tikje kort door de bocht.

Houd er rekening mee dat de bepalingen van de GDPR de *ondergrens* definiëren van hetgeen verwacht wordt.
Dan is het dus al snel gebeurd dat men aan de verkeerde kant van de lijn terecht komt.

Onze eigen DPO lijkt het poldermodel te gaan hanteren.
Andere DPO's en CJEU zijn een andere mening toegedaan. Zie o.a.
* https://www.insideprivacy.com/international/european-union/italian-dpa-issues-record-data-privacy-fine/
* https://iapp.org/news/a/breached-eu-data-protection-law-cjeu-says-fix-it-move-on-pay-damages/

P.J WESTERHOF, All models are wrong, some are useful.

Ook ik stel dingen simpeler voor dan ze zijn en de reden die ik daarvoor heb is dat GDPR voor veel organisaties "daunting" is. Door met een versimpeling een dialoog te starten zoals hier in de reacties ontstaat er een mooi beeld van het speelveld.

Thanks voor de artikelen al moet hierbij opgemerkt worden dat er (veel) meer aan de hand was dan alleen het gebruiken van persoonsgegevens zonder expliciete toestemming.

Wat de GDPR stelt aan maatregelen is al drastisch meer dan nu het geval is. Ik voorspel dan ook dat meer dan 90% van de bedrijven en mogelijk zelfs 99% in NL niet compliant zullen zijn aan de GDPR in mei 2018.

Persoonlijk sta ik achter de GDPR en geloof dat het een goed iets is. Een anti-patroon met de huidige trend waarin privacy steeds minder beschermt en verdedigd word. Daarbij geloof ik dat het cruciaal is dat bedrijven langzaamaan gewoontes implementeren als het op privacy aankomt. Populair gezegd; betekenis geven aan privacy by default en privacy by design.

Als je goed kunt aantonen dat je het beschermen van persoonsgegevens serieus neemt en de geest erachter, dan lijkt mij een de kans op een boete louter op het formeel overtreden van de GDPR vrij klein. En let wel, AP is in mijn ogen leidend bij het geven van een boete in NL, dus laten we hier vooralsnog vanuit gaan.

Wel goed om context te geven! En voor grote internationale bedrijven is het natuurlijk een heel stuk complexer!

Tja, zoals ik hier en elders medio vorig jaar al zei : organisaties die zich over de jaren énigzins aan de regels (WPR en WBP) hebben gehouden zullen nu betrekkelijk weinig moeite hebben om compliant te worden of te blijven.
De rest zal het moeilijk krijgen, zéker die organisaties die nu nog met 'bewustwording' bezig zijn.

Ook voorspelde ik dat we begin 2018 allerlei brandbrieven aan de politiek zullen zien, waarin men klaagt 'dat de overgangsperiode te kort is' en 'de eisen te hoog' en 'dat het toch wel érg veel en érg ingewikkeld is'.

De GDPR geeft ruime mogelijkheden aan organisaties om extra moeite te doen en aan te tonen dan men de zaakjes op orde heeft; o.a. 'Codes of conduct' en 'Certifications'.
Er zullen echter ook organisaties zijn die de GDPR als een soort 'privacy-APKtje' zien en alleen de absoluut minimale inspanning zullen doen. Om dan vervolgens zelfs dat APKtje niet te halen.
Mijn donderbruine vermoeden is dat dat rond de 40% zal bedragen. Maar zolang je niet betrapt wordt niets aan de hand, toch?

De eindverantwoordelijkheid voor GDPR-compliance ligt op hoofdbestuursniveau (RvB, GS, B&W, etc.). Daar zullen in beginsel ook de boetes vallen.
Ik zeg 'in beginsel', want ik verwacht van de AP een zeer coulante houding.
Hoe dat laatste zich op Europees niveau gaat laten verkopen is de krent in de pap.

Om het simpel te houden zou ik zeggen : maak een crisisplan, zorg dat het 100% dekkend is, einddatum december 2017, zet er 150% budget op, maak de eindverantwoordelijke persoonlijk accountable en maak luid duidelijk dat privacy-inbreuken consequenties op het personele vlak zullen hebben.

Op dit moment wordt het APK-niveau veelal niet gehaald.
Lees vers van de pers : https://www.privacybarometer.nl/nieuws/3905/Schippers:_doorsluizen_medische_gegevens_GGZ_onrechtmatig
Hoezo 'bewustwording'?!

Helemaal eens.

Een APK'tje is ook niet voldoende omdat het ook gaat om bewustwording en gedrag. Dat klinkt als holle frasen zonder voorbeeld, en het artikel is een prima voorbeeld wat er dan ontstaat. Het betekent ook dat je geen data en dossier van personen op een laptop of usb-stick plaatst die niet goed beveiligd is of de juiste encryptie gebruikt. Ook het versturen van e-mails met bijlagen kan al grote gevolgen krijgen.

In dat opzicht hoop ik dat AP volgend jaar wat shock therapie toepast net als dat met SPAM toen gebeurd is. Een paar voorbeelden stellen zodat iedereen weet dat het menens is.

GDPR is uiteraard ook ingezet als middel om Amerikaanse providers en politiek onder druk te zetten. Want nu is het heel gemakkelijk om te leunen op hun certificaten terwijl de Amerikaanse overheid een EU burger geen rechten op privacy toekent.

Er valt nog genoeg te doen en als de sprong van nu en het goede doen te groot is ben ik bang dat er een realiteitskloof ontstaat tussen de regels en de praktijk. Door dus een paar basis principes op te pakken en aan te vullen met begrijpelijk materiaal kunnen we al een heel eind de goede richting op gaan. Thanks voor je aandacht en delen van je inzicht en ervaring.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Computable Expert
Henri  Koppen

Henri Koppen
Directeur, THINGKS. Expert van Computable voor de topics BPM en Cloud Computing.
Hele profiel

Lees meer over:
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×