Benauwd voor boetes?

De meeste organisaties zullen intussen een eerste privacy impact assessment (PIA) hebben uitgevoerd, al dan niet een privacy officer hebben aangesteld (hoeft namelijk niet altijd), en hebben geïnvesteerd in het aankweken van de broodnodige awareness. Daarnaast zullen privacybeleid en -procedures op papier staan en misschien zijn de processen om dat alles te ondersteunen en te handhaven ook al geïmplementeerd.

Maar organisaties moeten niet uit het oog verliezen dat de AVG en al die andere privacywetten uiteindelijk bedoeld zijn om de privacy van individuele personen te beschermen. Waar het in essentie  op neer komt, is dat de persoonsgegevens van individuen moeten worden beschermd tegen onverlaten die ermee aan de haal willen gaan om die individuen te achterhalen.

Vaak weet de cloudprovider niet eens waar de gegevens zijn opgeslagen

Die gegevens zijn ergens opgeslagen, waarschijnlijk overal en nergens in de organisatie en in allerlei duistere cloudomgevingen, in databases, opslagsystemen, folderstructuren, e-mail, mobiele apparaten en ga zo maar door. Voordat er maatregelen kunnen worden genomen om die gegevens te beveiligen, zullen ze toch echt eerst moeten worden geïdentificeerd en opgespoord. In cloudomgevingen wordt dat extra lastig, want vaak weet de cloudprovider zelf niet eens waar de gegevens van klanten zijn opgeslagen.

Opsporing verzocht

Het identificeren en lokaliseren van persoonsgegevens kan dus behoorlijk uitdagend zijn. De gereedschapskist moet waarschijnlijk helemaal ondersteboven. Organisaties die de persoonsgegevens die onder hun beheer zijn netjes hebben gelabeld, hebben het iets makkelijker. Het van een label voorzien van informatie is eigenlijk altijd een must, maar dat moet dan wel op voorhand gebeuren, op het moment dat de informatie wordt verzameld of gecreëerd. Een dergelijk label bevat minimaal de volgende gegevens:

• Herkomst.
• Verantwoordelijke persoon (eigenaarschap).
• Classificatie (vertrouwelijk, geheim et cetera).
• Instructies voor verspreiding en verwerking.

Een andere manier om persoonsgegevens te achterhalen is gebaseerd op metadata, zeg maar informatie over de informatie. Voorbeelden van metadata zijn auteur, bestandsgrootte, titel, datum en tijd van creatie en laatste aanpassing. Dat blijft wel een beetje behelpen, want metadata hoevenniet direct iets over de aard van de gegevens te zeggen. Een flinke portie interpretatie blijft vaak noodzakelijk.

Nog weer een andere methode om persoonsgegevens op te sporen is door te scannen op de inhoud van de gegevens. Er bestaat een keur aan discovery tools waarmee gezocht kan worden op termen als naam, contact, telefoonnummer, e-mailadres enzovoort. Ook kan op bepaalde patronen worden gezocht, bijvoorbeeld een @ in een opeenvolging van alfanumerieke tekens.

De kans is levensgroot dat er iets over het hoofd wordt gezien

Zelfs wanneer alles uit de kast is gehaald om de persoonsgegevens op te vissen die door de organisatie in gebruik zijn, is de kans levensgroot aanwezig dat er iets over het hoofd wordt gezien. Hoe spoor je bijvoorbeeld klantgegevens op die op de smartphone van een salesmanager zijn opgeslagen? Voorkomen is beter dan genezen, dus het beleid en de procedures moeten er in voorzien dat de omgang met persoonsgegevens in goede banen wordt geleid.

Eigenaarschap

Niet iedereen weet het, maar alle informatie die door de organisatie in gebruik is, heeft een eigenaar die verantwoordelijk is voor het categoriseren, classificeren en labelen ervan. Dat geldt ook voor persoonsgegevens. Meestal is de eigenaar een afdelingshoofd of manager die de persoonsgegevens heeft verzameld en, als het goed is, weet waarvoor de informatie nodig is en aan welke regels die moet voldoen. De eigenaar is daarmee ook de eigenaar van de risico’s die kleven aan persoonsgegevens, en is dus verantwoordelijk voor het nemen van maatregelen om de gegevens te beschermen.

Dat geldt onverkort wanneer de gegevens in een of andere cloudomgeving zijn weggemoffeld. Een van de risico’s is het beruchte gegevenslek, wat er vrij vertaald op neer komt dat onbevoegden met hun tengels aan de persoonsgegevens zitten. Organisaties zijn verplicht om een gegevenslek te melden aan de Autoriteit Persoonsgegevens en aan alle betrokkenen. Dat brengt niet alleen veel heisa en kosten met zich mee, het is ook niet al te bevorderlijk voor het imago van de organisatie.

Dichtspijkeren

Verreweg de meest effectieve methode om digitale informatie te beschermen is versleuteling ofwel encryptie. Zonder versleuteling is het niet mogelijk om informatie echt te beveiligen, ongeacht welke andere beveiligingsmaatregelen dan ook worden genomen. Met encryptie kunnen gegevens op zodanige wijze worden dichtgespijkerd dat kwaadwillenden altijd het nakijken hebben, of de gegevens nu worden verstuurd of opgeslagen. Een datalek van fatsoenlijk versleutelde persoonsgegevens is daarmee onschadelijk en behoeft zelfs niet te worden gemeld aan de betrokkenen (wel aan de Autoriteit Persoonsgegevens). Dat scheelt veel gedoe.

Vanzelfsprekend moet die versleuteling goed worden ingericht. Dat vereist de nodige kennis en expertise die bepaald niet voor het opscheppen liggen. Bij het implementeren van encryptie moet minimaal over het volgende worden nagedacht:

• Identificeren en beoordelen van risico’s.
• Classificeren van informatie.
• Bepalen van usecases.
• Selecteren van standaarden.
• Beheer van sleutels en digitale certificaten.
• Technologie.
• Training en awareness.

Wie voldoet echt aan de AVG?