PrivacyBlox over de AVG [17/20]: er ligt privacygevoelige data op straat, wat nu?
23 February 2018 - ArnoudEngelfriet
Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht datalekken te melden, als het een relatief groot datalek was. Dit gaat onder de Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywet niet veranderen. Nieuw is wel dat u ook intern moet documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.
Volgens de wet is een datalek kort gezegd iedere schending van de beveiliging waardoor persoonsgegevens in verkeerde handen zijn gevallen of kwijt zijn geraakt. Het maakt niet uit of het een geavanceerde hack was of een eenvoudige slordigheid. Een USB-stick kwijtraken in het park is net zo goed een datalek als een lek door spionagesoftware die alles kopieert naar een ver land.
Wel moet het gaan om een wérkelijke schending, gegevens moeten daadwerkelijk zijn ontvreemd. Ontdekt u dus een beveiligingsprobleem en dicht u het voordat het is misbruikt, dan is er niets aan de hand en spreken we niet van een datalek. Natuurlijk moet u wel kunnen verifiëren dát het lek niet is misbruikt. Daarom is het van groot belang om goede logging en registratie te hebben van wat er gebeurt op uw systemen.
Als een datalek zich voordoet, moet u dat melden aan de toezichthouder én aan de betrokken personen. Dit moet eigenlijk altijd, tenzij duidelijk is dat er geen of nauwelijks risico’s zijn voor de privacy van personen. Stonden op die USB-stick alleen klantnummers en totale omzet per klantnummer, dan hoeft er niets te worden gemeld. En was de USB-stick vergrendeld met encryptie, of kon u direct na het datalek de gevolgen daarvan tot nul reduceren, dan hoeft u betrokkenen sowieso niet te informeren.
Datalekken moeten binnen 72 uur na ontdekking worden gemeld. De melding gebeurt elektronisch, en vereist een duidelijke indicatie van wat er misging, welke gegevens zijn geraakt en welke vervolgstappen u gaat nemen. Heeft u binnen die periode niet direct alle gegevens, dan kunt u alvast een voorlopige melding doen en later de overige informatie aandragen.
Een datalek kan zich ook voordoen bij een partij die voor u werkt. U bent daarvoor aansprakelijk. Met zo’n verwerker moet u dus duidelijke afspraken maken over zijn beveiliging, maar ook over hoe hij datalekken bij u meldt. En vergeet uiteraard niet de aansprakelijkheid duidelijk vast te leggen!
Nieuw onder de AVG is nog dat u verplicht bent ieder datalek – dus ook diegenen die u niet hoefde te melden – intern te registreren inclusief verbeterplan om te zorgen dat het niet nogmaals gebeurt. Deze registratie moet op verzoek door de toezichthouder ingezien kunnen worden.
Bent u voorbereid op een datalek? Maak in ieder geval vooraf een Calamiteitenplan Datalekken en communiceer dit binnen de organisatie. Onverhoopte datalekken documenteert u met de overzichtelijke tooling van Privacyblox.nl reg. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!
De nieuwe Europese Algemene Verordening Gegevensbescherming is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen.
Inhoudelijk is de AVG vooral een kwestie van de touwtjes stevig aantrekken. De regels voor toestemming vragen voor verwerking van persoonsgegevens worden strenger, iedere verwerking moet op papier zijn uitgewerkt inclusief bewaartermijn en beveiligingskeuzes en er moet concreet beleid rond datalekken en security zijn. Dit alles op straffe van behoorlijk stevige boetes, waarover morgen meer.
Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder?
Een belangrijke vernieuwing zijn de verwerkingsregisters en datalekregisters. Deze registers maken deel uit van de verantwoordingsplicht die bedrijven en instellingen krijgen. In het verwerkingsregister moet ieder gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens, waarom, hoe lang, hoe veilig), en het datalekregister moet inzicht bieden in dingen die misgingen (en hoe dat verbeterd gaat worden). Ook nieuw is de privacy impact assessment: een risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te borgen.
Als ik de AVG in één zin moet samenvatten, dan is dat het een compliancewet is. Documenteer wat u doet, en leg daar verantwoording over af. Laat zien dat u netjes werkt en rechtvaardig waarom het gepast is wat u wilt doen. De vraag zou bij de AVG ook niet moeten zijn, mag dit of dat nog, maar hoe leg ik vast dat ik kan doen wat ik wil.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.