Jubileumsessie: AVG & Digitaal samenwerken

Privacy en de AVG

De ene organisatie is – qua kennis en acties - al wat verder dan de andere. Om het kennisniveau van de deelnemers over dit onderwerp gelijk te trekken, nodigden we Christel van den Reek uit.

Christel, AVG-expert en advocaat ondernemingsrecht en intellectueel eigendomsrecht bij MARK Advocaten, nam ons mee in het reilen en zeilen rondom privacy en de AVG.

Wat is privacy precies?

Ongewenste foto’s op de website van je studentenvereniging? Die mogen eraf. Sterker nog: die moeten eraf als jij dat wilt. Want dat hoort bij je privacy; je persoonlijke levenssfeer, waar in principe niemand iets mee te maken heeft.

Maar wat valt er nog meer onder privacy? Sowieso je persoonsgegevens, portretrecht en je bijzondere persoonsgegevens (ras, religie, gezondheid, etc.). Ook gegevens die gekoppeld zijn aan internetadressen zijn onderdeel van jouw privacy. Door toestemming te geven op sommige cookies, zeg je dus eigenlijk dat Zalando jouw Facebooktijdlijn mag vullen met schoenadvertenties.

Hoe zit het nu dan met de bescherming van mijn privacy?

Aan bescherming van je privacy wordt al sinds jaar en dag veel aan gedaan. Kijk bijvoorbeeld eens naar Artikel 8 van het Europees Verdrag voor de Rechten van de Mens, de Internationale privacywetgeving die al sinds 1995 geldt en alle andere wetgevingen die je hier vindt.

Vanaf 25 mei 2018 is de AVG (in het Engels: General Data Protection Regulation (GDPR)) van toepassing. Vanaf die datum geldt dezelfde privacywetgeving voor de hele Europese Unie.

In 10 stappen voorbereiden op de AVG

Bewustwording

Heb je geen idee wat je doel is met gegevens die je bewaart? Grote kans dat je ze dan niet hoeft te bewaren. Toch? Je moet een doel hebben met bewaarde gegevens. Eentje die de opslag en verwerking van de gegevens rechtvaardigt.

Dus, ga je gegevens opslaan, stel jezelf dan de vraag: “Heb ik deze informatie nodig voor het doel dat ik wil bereiken?”

Zorg ervoor dat je een logische reden hebt om het op te slaan en hoe lang je dat gaat doen. Kun je die niet bedenken, sla ze dan niet op. Scheelt een hoop discussie!

Rechten van betrokkenen

Betrokkenen krijgen meer en verbeterde privacyrechten. Jij, als ‘verantwoordelijke’ van deze gegevens, hebt de plicht om ervoor te zorgen dat zij hun rechten kunnen uitoefenen.

Het recht om hun gegevens in te zien en te wijzigen en het recht om vergeten te worden zijn bestaande rechten. Hou ook rekening met het nieuwe recht om gegevens over te dragen: betrokkenen moeten makkelijk hun gegevens kunnen krijgen en doorgeven aan een andere organisatie als ze dat willen.

Overzicht verwerkingen

Vanaf 25 mei 2018 heb je een verantwoordingsplicht. Je moet aantonen dat jouw organisatie handelt naar de eisen van de AVG. En het bijhouden van de manier waarop je persoonsgegevens verwerkt in het verwerkingsregister hoort daar bij.

In dit register documenteer je welke persoonsgegevens je verwerkt, met welk doel dat gebeurt, waar de gegevens vandaan komen en met wie je ze deelt. Ook betrokkenen kunnen dit opvragen als ze hun gegevens willen corrigeren of verwijderen.

Data protection impact assessment (DPIA)

Een handig instrument om vooraf de privacyrisico’s in kaart te brengen en vervolgens te kunnen handelen om die risico’s te verkleinen. De DPIA moet je uitvoeren als de gegevens die je verwerkt een hoog privacyrisico met zich meedragen. Hier vind je meer informatie over de DPIA.

Privacy by design & by default

Privacy by design: Ontwerp je producten en diensten, denk dan bij de ontwikkeling direct aan de bescherming van persoonsgegevens: niet meer gegevens verwerken dan nodig en niet langer bewaren dan nodig.

Privacy by default: Neem technische en organisatorische maatregelen, zodat je alléén gegevens verwerkt die noodzakelijk zijn voor het doel wat je wil bereiken. Bijvoorbeeld:

• Bied je een app aan, registreer dan niet de locatie als het niet nodig is.
• Geen vakjes standaard aanvinken bij een contactformulier op je website.
• Niet meer gegevens vragen dan nodig is bij het aanmelden van je nieuwsbrief.

Functionaris voor de gegevensbescherming

Het gaat natuurlijk niet alleen om de gegevens van de consument, maar ook om de gegevens van je eigen personeel. Daarom is het handig om een functionaris voor de gegevensbescherming aan te stellen, die alle ins en outs van de wetgeving weet. Let op: het kan verplicht zijn! Check dit even hier.

Meldplicht datalekken

Was natuurlijk al en blijft ook grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie hiervan bij je eigen organisatie: alle datalekken moeten gedocumenteerd worden. Dan kan er gecheckt worden of er aan de meldplicht is voldaan.

Bewerkersovereenkomsten

Besteed je gegevensverwerking uit aan een verwerker? Dan moet je even controleren of de bestaande contracten nog steeds voldoen aan de eisen die de AVG stelt aan de overeenkomsten. Hier vind je een handig overzicht van de zaken die daarin moeten staan.

Leidende toezichthouder

Dit geldt voor organisaties die in meerdere EU-lidstaten werkzaam zijn, of waarin de gegevensverwerking in meerdere lidstaten plaats vindt. Je hoeft onder de AVG maar met één toezichthouder zaken te doen, wel even bepalen onder welke privacytoezichthouder je valt.

Toestemming

Een hele belangrijke verandering is dat je vanaf mei 2018 moet kunnen aantonen dat je geldige toestemming hebt gekregen van betrokkenen om hun persoonsgegevens te verwerken.

Die toestemming moet geïnformeerd, ondubbelzinnig en expliciet zijn. Dus het vakje ‘Ik wil graag aanbiedingen ontvangen’ niet meer standaard aanvinken. Tip: registreer hoe je toestemming vraagt, krijgt en vastlegt. Let wel op dat het intrekken van toestemming net zo makkelijk moet zijn als het geven van toestemming.

Digitaal samenwerken

Waar bovenstaand zich vooral richt op het verwerken van persoonsgegevens van externe betrokkenen, heb je als organisatie natuurlijk ook te maken met interne betrokkenen. Roel Knapen, directeur van triptic, vertelde over hoe Iris Intranet - software voor samenwerken, kennisdelen en informatievoorziening - omgaat met de AVG en hoe Iris organisaties helpt aan deze wetgeving te voldoen.

Allereerst is een partij zoals Iris Intranet een verwerker van persoonsgegevens, in opdracht van opdrachtgevers. En daar horen een aantal relevante partijen bij:

De verantwoordelijke

De natuurlijke persoon of rechtspersoon die het doel van gegevensverwerking vaststelt. In het geval van Iris Intranet is dat de opdrachtgever.

De bewerker/verwerker

Degene die – ten behoeve van de verantwoordelijke – persoonsgegevens verwerkt. Iris Intranet dus.

De sub-bewerker

De partij waaraan een deel van de verwerking is uitbesteed. Zoals de IT-partner(s) van Iris Intranet.

De betrokkene

Degene op wie een persoonsgegeven betrekking heeft, bijvoorbeeld een medewerker van een opdrachtgever die Iris Intranet gebruikt.

Bovenstaande punten gelden natuurlijk voor alle soorten intranetten en communicatieplatformen die door derden wordt gemaakt.

De persoonsgegevens die Iris verwerkt zijn allereerst te vinden in het gebruikersprofiel: e-mailadres, wachtwoord, voornaam en achternaam. Dit is de minimale vorm en nodig om een profiel te hebben op het platform en dus je werk te kunnen doen.

Dit kan verrijkt worden met functietitels, expertises, interesses, social media profielen, je locatie en – last, but not least – een profielfoto. Dat laatste is een bijzonder persoonsgegeven en voor het gebruik hiervan is uitdrukkelijke toestemming nodig van de betrokkene.

Daarnaast koppelt Iris Intranet met software van derden, zoals Office365, HR-systemen en CRM-systemen. Dat gebeurt via een hyperlink, het importeren van bestanden of via een (beveiligde) API (Application Programming Interface). De verbindingen zijn altijd beveiligd via SSL of TLS, en waar gewenst via een VPN-tunnel.

Veiligheid boven alles!

Ieder soort digitale werkplek of social business software verwerkt persoonsgegevens. Zo ook Iris Intranet. Door gegevens op een intranet te delen voorkom je dat medewerkers informatie gaan mailen, appen of facebooken. Ook kan je Dropbox en Wetransfer achterwege laten; alles kan veilig gedeeld worden via het intranet. Maar hoe zorgen we ervoor dat de informatie die daar staat in veilige handen is? Zo:

Autorisatie:

• Identiteitscontrole via bijvoorbeeld ADFS of LDAP;
• Identiteitscontrole via Iris Intranet;
• Een hybride oplossing, bijvoorbeeld in het geval van externe gebruikers.

Inlogbeveiligingen

• Maximaal 5 inlogpogingen, daarna wordt het account 5 minuten geblokkeerd;
• Zware encryptie van wachtwoorden;
• Strenge eisen aan wachtwoordsterkte;
• Twee-staps-verificatie via SMS, een authenticator app (bijvoorbeeld Google Authenticator) en de backup code, met mogelijkheid om bepaalde devices toestemming te geven;
• E-mailmelding wanneer er geprobeerd is om in te loggen met een onbekend apparaat (bij twee-staps-verificatie);

Naast autorisatie van gebruikers en maatregelen voor inlogbeveiliging, zijn er ook een aantal maatregelen die na het inlogscherm genomen worden:

• Uitgebreid rechtenbeheer (kan ook via User Provisioning vanuit Active of HR-software). Hiermee regel je de toegang tot bepaalde groepen en specifieke content – de gebruiker kan alleen zien wat de gebruiker mag zien.

• Content tijdens het uploaden scannen op virussen en malware
• Actieve logging en monitoring op afwijkingen. Via audit logging, waarbij complete content audit trails worden gedaan. En via applicatie en server logging en monitoring.

• Uitgebreide beheersrechten worden aan een superbeheerder toegekend. Toegewezen door de organisatie.

De software voldoet aan bovenstaande veiligheidsmaatregelen, maar – vanzelfsprekend - moeten de servers waarop Iris Intranet draait dat ook doen. En dat gebeurt op een aantal manieren:

• Virussen worden buitenboord gehouden door een firewall en virus/malware scanners;
• Verbinding maken kan alleen beveiligd via SSL;
• Alleen toegankelijk via bepaalde poorten: ongebruikte poorten staan dicht;
• Alleen de broodnodige software staat op de servers – en deze is altijd up-to-date;
• Dagelijkse back-up van de servers;
• Actieve logging en monitoring op bijzondere gebeurtenissen;
• ISO 27001 gecertificeerde hosting.

Iris Intranet ontwikkelt volop door. Bij het ontwikkelen van een nieuwe versie is ‘privacy by design’ een van de belangrijkste uitgangspunten. Daarnaast wordt Iris ontwikkeld volgens de richtlijnen van OWASP (Open Web Application Security Project) en NCSC (Nationaal Cyber Security Centrum).

Minimaal tweejaarlijks, maar in de praktijk vaker, worden er PEN-tests uitgevoerd door gespecialiseerde bedrijven. Om zo kwetsbaarheden in de software en setup te ontdekken. Deze kwetsbaarheden worden meegenomen in wekelijks geautomatiseerde micro releases.

Om een veilig product te maken is het ook ontzettend belangrijk dat er veilig gewerkt wordt. Iris is bezig met de ISO 9001 en ISO 27001 certificering, er zijn ‘veilig werken’-procedures die continu worden bijgesteld, alle systemen zijn voorzien van virusscanners, alle medewerkers hebben een VOG, gevoelige gegevens worden gedeeld via een beveiligd platform en autorisatie gaat op basis van een Active Directory (zodat niemand toegang heeft tot gegevens die ze niet nodig hebben).

Een digitale werkplek, hoe hou je het veilig?

Je hebt een digitale werkplek die technisch voldoet aan alle eisen van de AVG. Hoe zorg je er voor dat hetgeen op het intranet gebeurt ook veilig is - en blijft? Kelly van de Laar vertelde hierover: ‘Door het intranet in te zetten als verbinding tussen de Security Officer en de medewerkers op de werkvloer.’

Kelly is bij triptic werkzaam als Adviseur Community management en weet precies hoe je een community ergens naar toe kunt bewegen. In dit geval het veilig delen van informatie.

Communiceren via Iris is veilig, mits je medewerkers bewust zijn van hoe veilig te werken. Hier begint het dan ook mee: bewustwording creëren. Alleen bewuste medewerkers kunnen veilig werken. Je kan nog zo’n zwaar slot op de voordeur hebben, maar als de achterdeur openstaat, verlies je alsnog de controle. Leer je medewerkers daarom secuur werken: computers locken als je je werkplek verlaat, geen gevoelige documenten laten slingeren en niet zomaar persoonlijke gegevens van anderen delen.

Belangrijk hierbij is rekening houden met je interne doelgroepen. Het management moet je op een andere manier benaderen dan het intranetteam of de medewerkers op de werkvloer. Daarnaast moet je ook andere dingen van ze gedaan krijgen: het management dient bewust te zijn van veiligheid en dient deze bewustwording organisatie breed te verspreiden; de intranetbeheerders moeten tijdens de inrichting van het intranet de privacyregels in acht nemen en toegang verlenen op basis van rollen en rechten; de eindgebruikers dienen richtlijnen te krijgen die praktisch zijn in het gebruik en duidelijk zijn.

In het kader van de naderende AVG onderstrepen we de rol die de Intranetbeheerder / Community manager heeft in dit proces. Zij zijn de personen die issues als veiligheid intern onder de aandacht brengen en mensen in beweging brengen. Maar hoe krijg je hier aandacht voor? Wees doelgericht, maar ook creatief! Maak bijvoorbeeld een video waarin je kort het belang van veilig gegevens delen toelicht: geen Facebook hiervoor gebruiken dus. Of breng de gevolgen in kaart van wat er gebeurt als iemand zijn laptop kwijt raakt in de bus. Dit zijn voorbeelden die dicht bij je medewerkers staan en gemakkelijk te begrijpen zijn. Actief fouten voorkomen, in plaats van reactief problemen oplossen.

Samengevat: zorg dat managers bewustwording verspreiden over hoe veilig te werken. Vertel intranetbeheerders dat ze privacy als punt opnemen in het Communityplan en de inrichting van het platform. En ten slotte zorg je ervoor dat de eindgebruikers de gestelde richtlijnen opvolgen. Dit moet eigenlijk vanzelf gaan: maak de richtlijnen inzichtelijk, logisch en vanzelfsprekend!

Nogmaals bedankt

Erg leuk dat je op onze AVG Kennissessie bent geweest. Hopelijk heb je er iets van opgestoken en ga je met een frisse instelling de nieuwe privacywetgeving tegemoet. Bij vragen zijn wij natuurlijk altijd bereikbaar, het was ook een heleboel informatie in één keer.

Nogmaals bedankt voor je bezoek en hopelijk tot snel!