Management

AVG: hoe bewijs je je onschuld?
Vijf tips voor het samenstellen van een volledig register
Volgens het strafrecht ben je onschuldig tot het tegendeel is bewezen. Zo niet onder de Algemene Verordening Gegevensbescherming. De nieuwe Europese privacywet kent een omgekeerde bewijslast: de verwerkingsverantwoordelijke moet met documentatie aantonen dat hij zich aan de wet houdt. Hoe bereid je je voor op een bezoekje van de Autoriteit Persoonsgegevens?
‘Accountability’ is het toverwoord in de General Data Protection Regulation (GDPR), zoals de AVG in het Engels heet. Het is een kernbepaling die al in artikel 5 van de privacyverordening is vastgelegd. Je moet duidelijk maken welke onderdelen van de verordening je moet implementeren en kunnen aantonen hoe je dat hebt gedaan. Ook heb je de verplichting om betrokkenen inzicht te geven in hoe je bijvoorbeeld aan gegevens komt, hoe je ze verwerkt en waarom.
Het niet voldoen aan deze ‘verantwoordingsplicht’ brengt risico’s met zich mee. Kun je na een lek bijvoorbeeld niet aantonen om welke gegevens het precies gaat en hoe die zijn beveiligd, dan kan de boete die de Autoriteit Persoonsgegevens (AP) mogelijk uitdeelt weleens hoger uitvallen. Die boete kan oplopen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dan is het maar beter om je ‘papierwerk’ in ieder geval op orde te hebben.
Registerplicht
De AVG verplicht een groot deel van de organisaties dan ook tot het aanleggen van een ‘register van gegevensverwerkingen’. Hierin staat wat je met gegevens doet, waar de gegevens zijn en waar de mogelijke risico’s zitten. Zonder dit inzicht is het onmogelijk om gegevens te beschermen.
Maar hoe verzamel je voldoende gegevens om een volledig register samen te kunnen stellen? Vijf tips.
1. Start met het uitvoeren van Privacy Impact Assessments
Tijdens een PIA toets je verwerkingen en data uit de betrokken systemen aan de wettelijke eisen. Daarvoor moet je vragen beantwoorden als ‘hoelang bewaart de organisatie de data?’, ‘delen we de data met derde partijen?’, ‘wie heeft er toegang tot de data?’ en ‘hoe is de toegang geregeld?’. De antwoorden leveren informatie op die je ook nodig hebt voor het verwerkingsregister.
2. Schakel de automatische logging in
Log in ieder geval alle handelingen met privacygevoelige data. Als dan de AP op de stoep staat, kun je aantonen: dit heb ik ermee gedaan.
3. Maak gebruik van een datalekfilter
Hiermee creëer je een logboek waarin bijvoorbeeld staat dat ‘meneer Jansen’ via Dropbox een bestand met burgerservicenummers heeft gedeeld en dat ‘meneer Pietersen’ een document met persoonlijke financiële transacties per e-mail heeft verstuurd. Op die manier helpt een datalekfilter aan te tonen wat er precies met bepaalde data is gebeurd. Uiteraard ligt het voor de hand om hetzelfde datalekfilter in te zetten om specifieke communicatiekanalen zoals Dropbox dicht te zetten voor verwerking van persoonlijk identificeerbare data.
4. Intensiveer de monitoring
Strookt de werkelijkheid wel met wat je hebt gedocumenteerd? Of worden er toch ook nog persoonsgegevens verwerkt – of misschien zelfs gelekt – via ‘shadow IT’? Een goede securitymonitoring helpt je om hierachter te komen. Dit inzicht komt vervolgens ook weer van pas bij het melden van een datalek of het sanctioneren van cloudapplicaties voor dataverwerking.
5. Intensiveer de security-awareness
Nieuwe systemen leiden ook weer tot nieuwe verwerkingen die in het register terecht moeten komen. Als marketing een nieuw CRM-systeem in gebruik neemt, moet er wel een belletje gaan rinkelen dat bijvoorbeeld het ‘privacy-office’ dit graag wil weten. Het trainen op bewust gebruik van persoonsgegevens blijft essentieel.
Volgens het beginsel van accountability is het beter dat je zelf proactief meldt dat je een lek hebt gevonden en wat er precies is gebeurd met welke gegevens. De AVG vereist immers dat je dat weet. Het antwoord ‘ik heb geen idee wat er is gebeurd’ wordt niet meer geaccepteerd.
is als specialist informatie- en databeveiliging werkzaam bij Motiv. Hij heeft zich in het bijzonder verdiept in cybersecurity, veilige bestandsuitwisseling, beveiliging van mobiele apparaten, datalekken, ransomware, DDOS-aanvallen en ethical hacking.