Van privédata naar GDPR
Een van de meest elementaire voorbereidingen binnen het AVG stappenplan gaat over bewustwording. Bewustwording die betrekking heeft op de impact van de AVG op uw huidige processen, informatie stromen, diensten en goederen en welke aanpassingen in bemensing en regelgeving nodig zijn om aan de AVG te voldoen, maar ook hoe de organisatie en ieder voor zich omgaat met data en datastructuren en hoe de organisatie inzichtelijk maakt wat er moet gebeuren indien er wat met de privacy misgaat.
Organisaties hebben zich de afgelopen periode grondig kunnen voorbereiden op de nieuwe GDPR regelgeving en zij die dit niet gedaan hebben kijken inmiddels tegen een uitdaging aan, maar gelukkig is niets onmogelijk.
De wijze waarop particulieren zich informeren en zich tegen privacy inbreuk en eventuele datadeling beschermen wijkt op zijn zachts gezegd nogal af van de manier waarop professionals hier mee omgaan.
Social-media gigant Facebook wordt bekritiseerd omdat het de privacy huishouding niet op orde heeft maar laten we vooral niet vergeten dat we hier als (privé)data producent zelf ook een belangrijke rol in behoren te spelen.
We worden voorafgaand een website bezoek inmiddels geraadpleegd dat er informatie met betrekking tot ons zoekgedrag opgeslagen wordt en gaan hier wel of niet mee akkoord.
We hebben hier dus een keus. Over veel van de private zaken die we posten op het almachtige internet en sociale media in het bijzonder hebben we ook de keus om wel/niet de openbaarheid te zoeken.
Dat Facebook deze informatie al dan niet deelt met diverse belanghebbenden kan het privacy recht schaden dat moge duidelijk zijn maar ook hier hebben wij als privé gebruikers een keus. Wel delen of niet delen, vul ik de online enquête wel in of niet in.
Zelfs indien we ons datadeling op sociale media van ons af kunnen houden dan betekent dit niet automatisch dat er geen enkele data over ons bekend wordt. We noemen een aantal data verzamelende systemen die data over u genereren die u in het dagelijks leven tegen kunt komen en waar u matig of helemaal geen vat op hebt:
ANPR – automatische kentekenherkenning
ANPR staat voor Automatic Number Plate Recognition, oftewel automatische kentekenherkenning. Dit is een techniek waarbij met behulp van camera’s kentekens van voertuigen in het verkeer worden vastgelegd en langs geautomatiseerde weg worden vergeleken met kentekens van voertuigen die op naam staan van personen die bekend zijn bij de politie.
Overal waar u rijdt, kan uw kenteken worden geregistreerd, zodat precies kan worden vastgesteld waar u hebt gereden en welke route u genomen heeft. Automatische kentekenherkenning wordt daarbij toegepast om op een later tijdstip in de vastgelegde gegevens terug te kunnen zoeken.
Ook onze Belastingdienst genereert data waarin u en ik onderwerp zijn. De fiscus verzamelt jaarlijks zo'n 1 miljoen kentekenfoto's met camera-auto's met automatische kentekenherkenning vaak zonder dat we dit opmerken tenzij we vroeger of later op een overtreding betrapt worden.
Er zijn ook minder voor de hand liggende zaken waarin onze data verzameld wordt zonder dat we dit door hebben en waarbij op termijn data wellicht door enig belanghebbenden afgenomen kan worden. Iedereen die weleens een sportcentrum bezocht heeft zou de met sensoren en monitoring uitgeruste nieuwe generatie sport apparatuur moeten herkennen en hiermee zou eigenlijk moeten weten wat er met de data die u produceert gebeurd. De sensoren meten tijdens uw work-out uw bloeddruk en hartslag en via een app verdwijnt deze data naar een (sport) Cloud. Wellicht krijgt u in de nabije toekomst nog eens een advies op basis van deze gegevens.
Er moet nog eens goed nagedacht worden hoe en waarom we data delen met anderen, bewustwording gaat ons hierbij helpen.
Gelukkig kunnen door het verzamelen van grote hoeveelheden data ook hele mooie dingen doen. Zoals het voorspellen van gezondheidsrisico’s of het medeopstellen van een behandelplan tijdens ziekte. Data is de onontbeerlijke voedingsbodem voor Artificial intelligence en machine learning. En juist deze Artificial intelligence (AI) en machine learning bieden het bedrijfsleven en de maatschappij oneindig veel mogelijkheden. De kern en inzetbaarheid van dit speelveld wordt bepaald door de mate waarin we data kunnen verzamelen en voor korte of langere tijd kunnen bewaren. De succesfactor van de business wordt de komende tijd bepaald door de wijze waarop organisaties data onder controle weten te houden. Het is dan ook de hoogste tijd om alle mogelijke potentiële strategische scenario’s in kaart te brengen waarbij veiligheid uiteraard een belangrijk aspect is.
Als data producerende en verzamelende organisatie moeten we onze zaken op orde hebben en vanaf 25 mei 2018 de tijd mag iedereen organisaties op de naleving van de AVG aanspreken. Vanaf dit moment kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen.
Hieronder een overzicht van GDPR-functiegebieden en hun rollenverdeling binnen de verantwoordelijke sectoren:
CISO, Chief information security officer heeft een essentiële adviserende rol richting het bestuur van de organisatie en is belast met de formulering en bewaking van de digitale en fysieke informatiebeveiligingsbeleid. De CISO zou dan ook autonoom binnen de eigen organisatie moeten opereren en direct aan de Raad van Bestuur rapporteren. Soms is de CISO-rol belegd bij de Chief Risk Officer (CRO). In dit geval heeft de CRO naast digitale veiligheidsrisico’s ook andere risicogebieden.
CIO, Chief information officer is staat voor de ontwikkeling en beschikbaarheid van digitale gereedschappen aan de rest
van de organisatie. Deze functionaris heeft een prominente functionaliteit met betrekking tot cybersecurity en moet in staat zijn autonoom te adviseren. In een aantal organisaties maakt de CIO onderdeel uit van de hoogste bestuursorganen.
PO privacy officer. Volgens Europese wetgeving moeten veel organisaties onder andere een Privacy Officer (‘functionaris voor de gegevens-bescherming’) aanstellen, deze houdt binnen de organisatie toezicht op toepassing en naleving van de AVG-wetgeving en EU-wet en regelgeving op het gebied van bescherming persoonsgegevens.
Deze veelbesproken GDPR-wetgeving gaat mei 2016 in.
Hieronder een kritische vragenlijst die gebruikt kan worden als toetsings- en evaluatie-instrument en waarover de eigen organisatie zich zou moeten confirmeren.
1. Staat onze organisatie data opgeslagen binnen onze organisatie of bij een leverancier?
2. Staat onze organisatie data binnen of buiten Nederland opgeslagen?
3. Staat onze organisatie data opgeslagen buiten Europa of in de VS? Indien ‘ja’ overwegen wij migratie?
4. Heeft onze organisatie afspraken met ICT-leveranciers over de opslag van onze data?
Meldplicht Datalekken
1. Zijn alle betrokkenen op de hoogte van de invoering van de nieuwe Wet Meldplicht Datalekken?
2. Heeft onze organisatie een incidentprotocol opgesteld in geval van een datalek?
3. Heeft onze organisatie in kaart welke gegevens/datastromen worden verwerkt?
4.Hebben we vastgesteld wie datalekken gaat beoordelen en melden?
5.Heeft onze organisatie gevoelige persoonsgegevens versleuteld?
6.Heeft onze organisatie afspraken met bewerkers van
persoonsgegevens gemaakt?
7. Heeft onze organisatie procedures en maatregelen om lekken te ontdekken?
8. Gaat onze organisatie per datalek een overzicht bijhouden met feiten?
Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele organisatie’
1.Heeft onze organisatie informatieveiligheid opgenomen in de portefeuille van een van de leden van de raad van bestuur?
2. Is er een aparte paragraaf informatieveiligheid in het jaarverslag opgenomen?
3. Hoe ver is onze organisatie bij het implementeren
van:
Gemeentelijke instellingen BIG regelgeving?
Aanstelling CISO?
In kaart brengen van een GAP-analyse?
Risicoanalyse?
Opstellen Informatiebeveiligingsplan?
Inzichtelijk maken Informatieveiligheid in sector plannen?
4. Hoe zorgen we binnen onze organisatie voor blijvende alertheid?
5. Hoe transparant is de eigen organisatie in de lokale invulling van het onderwerp?
Meer tips? Lees meer:
Door: Harold Koenders, Pronovus
