We mogen inmiddels aannemen dat iedere data verzamelende-producerende organisatie (lees alle organisaties) op de hoogte zijn van de aankomende GDPR regelgeving. Hoe ver zijn we en wat moet er nog gebeuren? Hier een aantal tips en tricks.

Hoe beginnen we en wie maken we verantwoordelijk?

Stel een of meer functionarissen verantwoordelijk als het gaat om ervoor te zorgen dat aan wet- en regelgeving wordt voldaan. Vaak is binnen Enterprise omgevingen niet de IT-architect de eindverantwoordelijke maar is deze rol weggelegd voor onder meer Chief Information Security Officer, Data Protection Officer, Chief Risk Officer, of de Chief Compliance Offer.

Persoonlijke en privacygevoelige data.

Om te kunnen voldoen aan GDPR is een overzicht van de persoonlijke gegevens die bewaart en verwerkt worden noodzakelijk. Het genereren van een overzicht van privacygevoelige gegevens is van fundamenteel belang. Identificeer alle gegevens die volgens de GDPR persoonlijke gegevens zijn. Classificeer deze gegevens aan de hand van de privacy-gevoeligheid. Richt standaard informatiebeveiligingsprocessen in.

Waarom bewaart de organisatie de data?

GDPR schrijft voor het doel te omschrijven waarom gegevens verzameld zijn. De organisatie mag deze gegevens ook daadwerkelijk alleen voor dit doel gebruiken. Een voorwaarde hiervoor is bovendien dat toestemming is verkregen van degenen over wie je gegevens hebt verzameld.

Is de Cloud klaar voor GDPR?

De publieke Cloud voldoet (nog) niet aan de GDPR omdat het niet toelaat de plaats en confidentialiteit van gegevens te garanderen. Alleen al het in kaart brengen van de data-flow blijkt geen vanzelfsprekendheid, zeker in tijden van Cloud gebruik.

Door gebruik van een active archive solution en daarmee het ontstaan van een private Cloud wordt de data-locatie inzichtelijk. Ook bij een inzet van een gecombineerde of hybride Cloud of public Cloud blijft de data positie inzichtelijk. Belangrijk omdat GDPR voorschrijft dat men ten alle tijden moet weten waar de data zich bevind. Ander belangrijk voordeel van het gebruik van Active archive is de creatie van een airgap, er ontstaat dus daadwerkelijk een luchtledige barrière tussen online en offline data waardoor het hackers wel echt heel moeilijk zo niet onmogelijk gemaakt wordt om bij de data te komen. Een Active archive solution is in eerste instantie bedoelt om vollopende primary data storage systemen(servers) te ontlasten van oudere niet in gebruik zijnde data.

Door deze data aan “goedkopere”media toe te vertrouwen en beheersbaar te maken met een software defined storage software laag krijgt het computing systeem weer denkruimte. Feitelijk is het systeem een combinatie van Disc, Flash, S3, Cloud en tape storage.

Hoe staat het met het gebruik van een private Cloud?

Een private Cloud wordt opgezet voor en gebruikt door één organisatie, geeft controle over plaats, integriteit, beschikbaarheid en confidentialiteit van de gegevens en kan dus wél worden gebruikt voor opslag van gegevens die aan de GDPR moeten voldoen. De hybride Cloud kan onder strikte voorwaarden en controles voor GDPR-doeleinden gebruikt worden.

We moeten data Categoriseren.

Het is een misvatting dat GDPR gehanteerd dient te worden zodra de GDPR wetgeving ingaat, maar geldt voor alle aanwezige data. Dus ook historische en gearchiveerde data valt onder het zelfde hoofdstuk. Het is dus uitermate belangrijk een zo compleet en gedetailleerd mogelijke inventarisatie te maken van de gegevens die de organisatie verwerkt en bewaart. Categoriseer de privacy gevoeligheid van deze data, doe een gedegen risicoanalyse en tref per datacategorie voorgeschreven beveiligingsmaatregelen toe om aan de GDPR wetgeving te voldoen. Richt protocollen en herstel procedures in voor het geval er iets mis gaat. Je hebt volgens de regelgeving bewijsplicht waarin je aan moet tonen dat je er alles aan hebt gedaan om de gevolgen van een incident te beperken. Bedenk ook vooraf wat je doet mocht er onverhoopt een keer iets fout gaan.

Bewaartermijn

Je mag alleen persoonlijke gegevens opslaan die je ook echt nodig hebt. Binnen de GDPR regelgeving is het begrip persoonsgegevens aanzienlijk verruimd. Alle gegevens die mogelijkerwijs tot een persoon zijn te herleiden, zijn aan de orde. Niet alleen naam, telefoonnummer of IP-adres, maar bijvoorbeeld ook unieke apparaat-ID’s en verder een reeks aan cookies.

Daar komt nog bij dat zodra je bepaalde persoonsgegevens niet meer nodig hebt, je ze niet mag bewaren. GDPR schrijft voor actie ondernemen om deze data op te ruimen. Personen kunnen om inzage in hun eigen gegevens vragen. Ook kan verzocht worden om de data te verwijderen, of in goed Nederlands het recht om vergeten te worden. Denk dus goed na over de levenscyclus van data. Gegevens die je niet of niet meer mag hebben moet je verwijderen. Belangrijk is dat dit op de juiste wijze gebeurt. Allereerst moet je weten welke gegevens je nodig hebt en voor welke gegevens je expliciet toestemming van betrokkenen nodig hebt. Vervolgens moet je bijhouden hoelang je die persoonlijke gegevens nodig hebt. Verwijderen moet grondig gebeuren. Zijn er misschien meerdere kopieën van de data aanwezig, hoe zit het met back-ups en archieven? Denk goed na welke werknemers hiervoor geautoriseerd zijn. Het gaat om het permanent verwijderen van bedrijfsgegevens. Eenmaal vernietigd is er geen weg terug. Data kan mogelijk ook samengevoegd en geanonimiseerd( personificatie neutraal)worden, waarna het niet meer onder de GDPR valt.

Toegang door derden

Je bent niet alleen verantwoordelijk voor de data die je zelf gebruikt en opslaat. Ook data die je toegankelijk maakt voor derden waarmee je bijvoorbeeld samenwerkt valt nog steeds onder de verantwoordelijkheid van de organisatie. Het is daarom essentieel dat je alleen de juiste data met de juiste partijen deelt. Inventariseer welke data door derden beschikbaar en in te zien is. Gaat het echt om data die noodzakelijk is gezien de te verrichten werkzaamheden? Kan en mag de data ook door anderen gewijzigd worden, welke gegevens zijn het en zijn ze echt nodig? Stel duidelijke policies en procedures op gebaseerd op voorgeschreven protocollen en structuren . Omschrijf de veilige en betrouwbare samenwerking.

Ondersteuning voor eDiscovery (juridisch reviewplatform voor digitale documenten)

 De GDPR-wetgeving probeert helder te zijn en streng, er kunnen hoge boetes opgelegd worden en zelfs een strafrechtelijk onderzoek wordt niet uitgesloten. Je mag alleen persoonlijke gegevens vastleggen die je daadwerkelijk nodig hebt, waar je expliciet toestemming van de betrokkenen voor hebt gekregen en je mag gegevens dan slechts bewaren zolang je ze nodig hebt. Voorgeschreven wordt om heel precies bij te houden wat er allemaal met data gebeurt gedurende de gehele levenscyclus. Wie hebben er wanneer toegang toe, wie vult/past data aan, wie verwijdert data, welke externe partijen kunnen er in welke periode bij en met welke toegangsrechten. Door het geautomatiseerd vast te leggen is altijd te achterhalen wie ergens wanneer bij kon en wat er allemaal met de data is gebeurd. Daarmee behoort ook eDiscovery tot de mogelijkheden.

Beveiligen van alle apparatuur

Door gegevens centraal in de private, hybride of public Cloud op te slaan, deze te versleutelen en de juiste toegangsrechten in applicaties en apps aan gebruikers toe te kennen, blijft de data ontoegankelijk voor onbevoegden. Opslag op point-solutions zoals externe schijven, usb-sticks, maar zeker ook aan verzending via bijvoorbeeld e-mail moet worden voorkomen. Apparatuur zoals PC`s, tablets en smartphones, moet daarnaast voorzien zijn van een toegangscode of een andere (biometrische) beveiligingsmethode. Mobiele applicaties zijn het veiligst als data op een centrale locatie benaderd wordt en niet lokaal is opgeslagen. Bij verlies of diefstal moet apparatuur op afstand gewist kunnen worden.

Compliancy

Wetgeving is eigenlijk altijd complex en soms is het lastig om de juiste interpretatie te achterhalen. Het is natuurlijk wel van belang dat je de juiste maatregelen treft om de data doeltreffend te beschermen. Interpreteer de regelgeving goed en neem de juiste maatregelen die voor jouw organisatie gelden dus overdrijven heeft geen enkele zin. Verdiep je dus in de GDPR regelgeving en let met name op wat voor jouw specifieke bedrijfstak van toepassing is, zodat je goed onderbouwd de juiste acties kunt uitzetten om aan de wetgeving te voldoen. Laat je eventueel bijstaan door een adviseur voor een juiste interpretatie van de GDPR. Ga op zoek naar hulpmiddelen die er zijn waarmee je met relatief weinig inspanning al meteen aan de GDPR voldoet. Denk aan shared/centrale opslag, veilig delen en automatisch auditen van alle document stromen.

Pronovus is distributeur van vernieuwende en baanbrekende technologieën.

Ons doel is om samen met u de uitdagingen op het gebied van Authenticatie, Informatiebeveiliging, Veilig telewerken, Cyber Security, Active archive Archivering, Clouddiensten en Hyperconverged Infrastructuren te bekijken en daarvoor een passende oplossing te vinden.

GDPR 10 stappen voorbereiding.

De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG.

  • Stap 1: Bewustwording – Aanpassen huidige processen, diensten en goederen. Maximaal 20 miljoen euro of 4% van uw wereldwijde omzet.
  • Stap 2: Rechten van betrokkenen – recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit.
  • Stap 3: Overzicht verwerkingen – Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Documentatieplicht.
  • Stap 4: Privacy Impact Assessment (PIA) – Verplicht PIA uit te voeren bij waarschijnlijk hoog privacyrisico.
  • Stap 5: Privacy by design & privacy by default – Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn. Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • Stap 6: Functionaris voor de gegevensbescherming – Mogelijke verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen.
  • Stap 7: Meldplicht datalekken – U moet alle datalekken documenteren.
  • Stap 8: Bewerkersovereenkomsten – Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend?
  • Stap 9: Leidende toezichthouder – Vestigingen of gegevensverwerkingen in meerdere EU-lidstaten? Toch één privacytoezichthouder.
  • Stap 10: Toestemming – Kunnen aantonen geldige toestemming van mensen heeft gekregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.