AVG (GDPR) en beveiliging van persoonsgegevens, dit moet je erover weten

Weet je nog? Het jaar 2018. Het jaar van de AVG / GDPR. Online gezien dan. Opeens moesten we extra gaan nadenken over bewaarbeleid en bezoekers informeren over cookies. We kregen te maken met verwerkersovereenkomsten. En niet voor niets. Er komt steeds meer persoonlijke data online en deze data wordt ook online verwerkt. Deze data moet ook beveiligd worden. Maar hoe gebeurt dit? Van wie is data en welke rol spelen wij (Buro26) hierin als ontwikkelaar van online omgevingen waar persoonsgegevens in worden verwerkt. In dit blog zoomen we hierop in.

Inhoud

• Wat zijn de regels rondom het beveiligen van (persoons)gegevens?
  • Beveiliging persoonsgegevens
• Wat zegt de Autoriteit Persoonsgegevens (AP) hierover?
• Wat doen wij aan data beveiliging en wie is verantwoordelijk

Wat zijn de regels rondom het beveiligen van (persoons)gegevens?

Even weer terug naar 2018. De AVG was toch alleen voor bedrijven? Nee, het is voor iedereen die persoonsgegevens verwerkt. Of je nu een ijskar hebt en vraagt om gegevens in te vullen of als je werkt bij een fysiotherapiepraktijk en gegevens verzameld. Daarbij kent de AVG 6 basisprincipes. Nog even in het kort hieronder. Lees er hier nog meer over.

1. Rechtmatigheid, behoorlijkheid en transparantie (Het doel, wie vraagt om de gegevens etc)
2. Doelbinding (is het doel gerechtvaardigd, vooraf omschreven)
3. Dataminimalisatie (niet meer vragen dan nodig)
4. Juistheid (de verwerker moet zorgen dan de gegevens juist zijn)
5. Opslagbeperking (data niet langer bewaren dan nodig)
6. Vertrouwelijkheid en integriteit (gegevensverwerking moet passend worden beveiligd)

Op punt 6 zoomen we nog even wat verder in. Want welke data is passend en wat is misschien iets teveel voor jouw doel? We moeten hier in ieder geval nog onderscheid maken tussen normale persoonsgegevens en bijzondere persoonsgegevens zoals iemands gezondheid. Dat laatste laat ik even buiten beschouwing omdat dit een wat kleiner percentage is.

Beveiliging persoonsgegevens

Zonder een goede beveiliging kan er een datalek ontstaan. Dit hoeft niet te betekenen dat er gelijk gegevens op straat liggen, maar in ieder geval dat er een ingang is om bij persoonlijke gegeven te kunnen komen. Dit kan op verschillende manieren. Een collega die zijn laptop zonder toegangscode open laat staan is in feite al een datalek, maar ook bestanden die niet versleuteld zijn, software die niet actueel is of teveel personen die toegang hebben.

Om dit te voorkomen kunnen er verschillende maatregelen genomen worden. Zowel op organisatorisch vlak met protocollen en een goed beheerdersbeleid, maar ook op technisch vlak door versleuteling, automatisch verwijderen van oudere gegevens, updaten en logbestanden bijhouden. Hierover later meer.

Wat zegt de AP hierover?

De Autoriteit Persoonsgegevens (AP) is de Nederlandse gegevensbeschermingsautoriteit en het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op het verwerken van persoonsgegevens. De organisatie houdt zich dus bezig met privacy.

De definitie van het verwerken van persoonsgegevens luid vervolgens: Alles wat een organisatie met persoonsgegevens kan doen, van verzamelen tot en met vernietigen.

De AP zegt het volgende over jouw verantwoordelijkheid: Elke organisatie die persoonsgegevens verwerkt, moet zelf bepalen welke beveiligingsmaatregelen nodig zijn.

Wat doen wij aan databeveiliging en wie is verantwoordelijk?

Bij Buro26 nemen we databeveiliging en persoonsgegevens serieus. We ontwikkelen iedere nieuwe website, webshop of webapplicatie al volgens best practices en werken met schone, snelle code waarin we zoveel mogelijk gebruik maken van bestaande functionaliteit van systemen aangevuld met eigen maatwerk en zo min mogelijk third party plugins. En als we daar al gebruik van maken onderzoeken we eerst of deze breed worden ondersteund en er regelmatig updates uitgeven worden die eventuele kwetsbaarheden inperkt.

Als we een systeem ontwikkelen waarin persoonsgegevens worden verwerkt is Buro26 de ‘verwerker’ en de klant de ‘verwerkersverantwoordelijke’. Ofwel wij hebben een rol in het adviseren en beveiligen, maar de klant blijft eigenaar van de data en daar dus ook verantwoordelijk voor.

In het kort kunnen we een aantal zaken onderscheiden waarin we persoonsbeveiliging vormgeven:

1. Beleid bij Buro26

Als internetbureau hebben we al voor het ingaan van de AVG-wet te maken met het beveiligen van (persoonlijke)data. Om die reden hadden we al diverse punten in het bedrijfsbeleid die bijdragen aan deze databeveiliging. Zoals:

• Toegang tot laptops van medewerkers: iedere laptop heeft verplicht een unieke inlogcode
• Iedereen heeft een eigen unieke login voor interne systemen
• Iedere medewerker werkt met een passwordmanager. Wachtwoorden worden niet in losse bestanden opgeslagen.
• Medewerkers kunnen in verschillende rechtengroepen zitten en zo kan niet iedere medewerker overal bij
• ICT-voorzieningen worden periodiek bijgewerkt door een externe partij

2. Technische maatregelen binnen projecten

Binnen projecten houden we ook al een aantal standaard zaken aan wanneer we met persoonsgegevens te maken hebben:

• Inzendingen van webformulieren stellen we in zonder, of met een max. bewaartermijn van bijvoorbeeld 30 dagen
• Kan data via een beveiligde verbinding, na inloggen, of per e-mail verstuurd worden? We bekijken het per geval.
• We werken met gebruikersgroepen en rechten. De hoofdcontactpersoon bij de klant heeft bijvoorbeeld meer rechten dan overige medewerkers van de klant.
• We maken gebruiken van hashing bij te delen url’s waar persoonlijke data zichtbaar is

3. Verwerkersovereenkomst

Komen wij namens jou in aanraking met persoonlijke gegevens? Dan sluiten we graag een verwerkersovereenkomst met je af. Een verwerkersovereenkomst bevat afspraken die de verwerkingsverantwoordelijke (de klant) en de verwerker (Buro26) maken over dataverwerking die wij namen jou mogen uitvoeren. Daarin wordt opgenomen welke verwerkingen en persoonsgegevens er worden verwerkt en denk aan afspraken over de beveiliging, het al dan niet mogen inschakelen van subverwerkers en afspraken over de omgang met verzoeken van betrokkenen.

4. Advies

We hebben ook een adviserende rol. Dit kan gaan over het opzetten van een goede rechtenstructuur voor gebruikers zodat een beperkt aantal mensen de hoogste rechten hebben, maar ook het verifiëren en inloggen van accounts of het gebruik van sterke wachtwoorden of advies over het bewaarbeleid. Wij willen in elk geval het onderwerp op de agenda zetten.

5. Onderhoud

Als laatste bieden we onderhoudsabonnementen. Daarin installeren we updates van het systeem waarop jouw online omgeving gebaseerd is. Naast het aanvankelijk goed opzetten en inrichten van een systeem is dit misschien wel één van de belangrijkste onderdelen. Het voorkomt zoveel mogelijk dat een systeem kwetsbaarheden bevat doordat we beveiligingsupdates uitvoeren en de werking nagaan.

Wil je meer weten?

Heb je een online omgeving bij ons of ben je dit van plan? Dan houden we dit onderwerp graag bespreekbaar met je. De ontwikkelingen gaan snel, vooral technische gezien, maar ook kan je project zo inhoudelijk veranderen dat we moeten bekijken of alles nog voldoende geregeld is. Laat het weten en wij denken met je mee!