GDPR: bangmakerij of serious business?
De boetes liegen er niet om: vier procent van de omzet met een maximum van twintig miljoen euro. En de raad van bestuur is hoofdelijk aansprakelijk. Met een Autoriteit Persoonsgegevens, die straks streng gaat handhaven, hebben we het hier niet over bangmakerij. Hoe zorg je ervoor dat de kans op een boete of reputatieschade tot het minimum beperkt wordt? Door de bescherming van persoonsgegevens tot prioriteit nummer één te maken. De burger/patiënt/consument staat in de GDPR namelijk centraal.
Nu is die bescherming van persoonsgegevens niet nieuw; we hebben immers de Wet bescherming persoonsgegevens (Wbp) al. Maar er zijn wel een aantal punten waarop de General Data Protection Regulation (GDPR; algemene verordening gegevensbescherming (AVG)) verder gaat dan de Wbp op het gebied van it-security. De punten die in de praktijk de meeste impact zullen hebben, lichten we hier toe.
Meer inzage in persoonsgegevens
Als eerste de kern van de GDPR, de rechten van de burger. De burger:
- Moet zijn of haar elektronische persoonsgegevens direct in kunnen zien.
- Mag zelf aangeven wie toegang krijgt tot die gegevens of aan wie ze mogen worden doorgegeven. Bijvoorbeeld een andere zorgverlener, energieleverancier et cetera.
- Heeft het ‘recht om vergeten te worden’.
Wat heeft GDPR voor gevolgen?
De burger krijgt dus meer rechten en dat vraagt ook om nog meer bescherming van data. Om dit adequaat te regelen zul je data moeten classificeren. Welke data zijn persoonlijk en welk beveiligingsniveau hoort daarbij? Ook is het belangrijk om alle toegang te loggen. Bij een (vermoeden) van een datalek kun je achteraf terugzien wie welke gegevens heeft ingezien. Een ander belangrijk onderdeel is data-encryptie. Stel er raakt een USB-stick kwijt met daarop persoonlijke gegevens. Als de data versleuteld zijn, kan de vinder er niets mee. Er is dan nog wel sprake van een lek, maar men spreekt dan van een beveiligingsinbreuk en geen gegevensinbreuk. En dat kan het verschil maken tussen wel of geen boete.
Belangrijke acties voor uw it-security:
- Dataclassificatie
- Het loggen van alle toegang
- Data-encryptie
Opvolgplicht en openbaarheid van datalekken
Wat zijn de gevolgen van de opvolgplicht?
Een (vermoeden van een) datalek moet volgens de GDPR binnen 72 uur gemeld worden. Dan moet je wel weten of er is ingebroken en waar en wat er is gelekt. Dat lukt alleen met goed georganiseerde it-infrastructuur. Wat moet je daarvoor regelen:
- Identificatie: breng mogelijke risico’s, bedreigingen en kwetsbaarheden in kaart.
- Preventie: verklein het aanvalsterrein en zorg voor passende beveiliging.
- Detectie: zorg voor continue monitoring van het informatiebeveiligingssysteem en signaleer bedreigingen.
- Respons: reageer op eventuele incidenten.
Bij elke stap in dit proces is vastlegging belangrijk. Loggen en rapporteren dus. Zo kun je achteraf bewijzen dat je er alles aan gedaan hebt om een datalek te voorkomen.
Wat zijn de gevolgen van openbaarheid?
Een ander aspect van de meldplicht is dat deze openbaar wordt. Een datalek moet niet alleen bij de toezichthouder gemeld worden, maar ook bij de betrokken persoon. Er ontstaat daardoor een reële kans op reputatieschade. Om bij een datalek naar behoren te kunnen handelen zal er dus een zeker kennisniveau aanwezig moeten zijn in de organisatie. Je moeten weten welke stappen je moet ondernemen om de schade zoveel mogelijk te beperken. Is die specialistische kennis er niet of onvoldoende? Zorg dan dat je een externe back-up hebt op dat gebied.
Belangrijke acties voor uw it-security:
- Zorg voor een proces van identificatie-preventie-detectie-respons.
- Zorg dat je voldoende specialistische kennis in huis hebt (of haalt) om naar behoren te kunnen handelen bij een incident.
- Zorg dat je kunt bewijzen dat je er alles aan gedaan hebt om het datalek te voorkomen.
Privacy by design
Wat zijn de gevolgen van privacy by design?
Privacy by design betekent dat je al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Maar ook in de verdere ontwikkeling blijft de focus op privacy. Welke data kun je koppelen aan een persoon, welke niet? Hoe lang ga je data bewaren, kun je data verwijderen (recht om vergeten te worden)? Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet je namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.
Belangrijke acties voor uw it-security:
- Betrek alle afdelingen.
- Ga na welke data je wel/niet kunt koppelen aan een persoon.
- Kijk ook naar dataopslag en -vernietiging.
Tot slot
Aan de ene kant moet je als organisatie dus zorgen voor openheid richting de burger. Aan de andere kant moet je persoonsgegevens optimaal beschermen tegen onbevoegden. Dit vraagt niet alleen om optimale it-security, maar ook om bewustwording in alle lagen van de organisatie. Niet in de laatste plaats bij de raad van bestuur. Op strategisch niveau zal namelijk de risicoanalyse gemaakt moeten worden. Waar liggen de risico’s binnen de organisatie? Hoe groot is de kans op een datalek en wat zijn de mogelijke gevolgen?
Bedenk bij het bepalen van de securitybeleid al welke acties nodig zijn om persoonsgegevens optimaal te beschermen. Een ding is zeker het tijd om in actie komen.
Bron Computable, Stefan van der Wal, security officer.