GDPR: Bangmakerij of serious business?

13 maart 2017|

De boetes liegen er niet om: 4% van de omzet met een maximum van twintig miljoen euro. En de Raad van Bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens die straks strenger gaat handhaven hebben we het hier niet over bangmakerij. Maar hoe zorg je ervoor dat de kans op een boete of reputatieschade tot het minimum beperkt wordt? Door de bescherming van persoonsgegevens tot prioriteit nummer 1 te maken. De burger/patiënt/consument staat in de GDPR namelijk centraal.

Wat zijn de verschillen tussen WBP en GDPR?

Nu is die bescherming van persoonsgegevens niet nieuw, we hebben immers de WBP al. Maar er zijn wel een aantal punten waarop de GDPR verder gaat dan de WBP op het gebied van IT-security. De punten die in de praktijk de meeste impact zullen hebben lichten we hier toe.

1. Meer inzage in persoonsgegevens

Als eerste de kern van de GDPR, de rechten van de burger. De burger:

  • Moet zijn of haar elektronische persoonsgegevens direct in kunnen zien.
  • Mag zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener, energieleverancier etc.
  • Heeft het ‘recht om vergeten te worden’.

Wat heeft dit voor gevolgen

De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zul je data moeten classificeren. Welke data zijn persoonlijk en welke beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien. Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.

Belangrijke acties voor uw IT-security:

2. Opvolgplicht en openbaarheid van datalekken

Wat zijn de gevolgen van de opvolgplicht
Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met goed georganiseerde IT-infrastructuur. Wat moet je daarvoor regelen:

  • Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart
  • Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging
  • Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen
  • Respons: reageer op eventuele incidenten

Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen. ON2IT gaat in dit proces overigens nog een stap verder. Na respons volgt mitigatie: leer van incidenten om de processen in de toekomst te verbeteren.

Wat zijn de gevolgen van openbaarheid
Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken persoon. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie. Je moeten weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende? Zorg dan dat je een externe back-up hebt op dat gebied.

Belangrijke acties voor uw IT-security:

  • Zorg voor een proces van identificatie-preventie-detectie-respons.
  • Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident.
  • Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.

3. Privacy by design

Wat zijn de gevolgen van privacy by design
Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.

Belangrijke acties voor uw IT-security:

  • Betrek alle afdelingen.
  • Ga na welke data je wel/niet kunt koppelen aan een persoon.
  • Kijk ook naar data-opslag (en data-verwijdering).

Tot slot: naleving van de GDPR lukt alleen met awareness

Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale IT-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de Raad van Bestuur. Op strategisch niveau zal namelijk de risico-analyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?

ONSF

Het ON2IT Security Framework (ONSF) kan helpen om dit traject in goede banen te leiden. Het biedt als het ware een blauwdruk om de borging van de privacy binnen uw organisatie in juiste banen te leiden. We denken op strategisch niveau mee bij het bepalen van de securitypolicy. We ondersteunen bij de inrichting van de IT-architectuur. En op operationeel niveau leveren we de IT-security producten die nodig zijn om persoonsgegevens optimaal te beschermen.

[av_button label=’Meer weten?’ link=’page,518′ link_target=” size=’large’ position=’center’ icon_select=’no’ icon=’ue800′ font=’entypo-fontello’ color=’theme-color’ custom_bg=’#444444′ custom_font=’#ffffff’ admin_preview_bg=”]