Privacy Framework: de vijf bouwstenen voor GDPR | AVG compliancy

16 januari 2018 Consultancy.nl

Experts van Centric hebben een nieuw raamwerk ontwikkeld. Hiermee worden organisaties voorzien van vijf bouwstenen waarmee ze zich kunnen voorbereiden om op tijd te kunnen voldoen aan de GDPR-wetgeving die in mei 2018 van kracht wordt. Elke bouwsteen staat voor een belangrijk onderdeel uit de nieuwe privacywet. Het betreft de thema’s compliancy, transparency, security, governance en organization.

Door de opkomst van nieuwe technologieën zijn er tal van nieuwe online mogelijkheden en voordelen voor klanten en organisaties, zoals meer gemak en betere dienstverlening en efficiëntie. Anderzijds brengt digitalisering ook diverse nieuwe risico’s met zich mee, waarbij cybercriminaliteit en het verlies van privacy eruit springen. Dit heeft ertoe geleid dat er op Europees niveau afspraken zijn gemaakt over nieuwe, strengere privacywetgeving. De Europese General Data Protection Regulation (GDPR) – binnen Nederland vertaald naar de Algemene Verordening Gegevensbescherming (AVG) – moet zorgen voor betere bescherming van de vele digitale persoonsgegevens die vandaag de dag bij allerlei bedrijven en instellingen liggen opgeslagen.

Vanwege de aanstaande invoering van deze wet staat het wereldwijde privacylandschap de komende jaren aanzienlijke veranderingen te wachten. Anders dan de oude Europese Richtlijn Bescherming Persoonsgegevens die – zoals de naam aangeeft, niet meer was dan een richtlijn – is de nieuwe GDPR-wetgeving een verordening. Bedrijven en overheden krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering in overeenstemming te brengen met de GDPR. Vanaf die datum zal binnen de gehele EU dezelfde wet gelden. Dit betekent dat de AVG geen nationale interpretatie is van de Europese GDPR, maar dezelfde wet zoals die zal gelden binnen alle lidstaten van de Europese Unie. Organisaties die na 25 mei niet voldoen aan de eisen, kunnen in geval van verwijtbaar tekortkomen, rekenen op fors hogere boetes dan bij de huidige wetgeving worden uitgedeeld, oplopend tot wel €20 miljoen, of zelfs 4% van de wereldwijde jaaromzet van een onderneming als dat meer is dan €20 miljoen. 

GDPR

Uber en Hilton

Ook kan een datalek tot veel imagoschade leiden. Zo kwam zeer recentelijk taxidienst Uber negatief in het nieuws vanwege een grote hack. In 2016 wist een hacker de volledige namen, adressen en mobiele telefoonnummers te achterhalen van maar liefst 57 miljoen Uber-gebruikers, waaronder 174.000 Nederlanders. Uber was al snel op de hoogte van de hack, maar trad pas in november 2017 naar buiten met het nieuws. Omdat er geen bewijs is gevonden dat er gegevens zoals creditcard- en rekeningnummers zijn buitgemaakt er geen aanwijzingen zijn voor fraude of misbruik, hoeft niemand zich “zorgen te maken”, aldus Uber tegenover RTLZ. 

Dat ligt anders in het geval van Hilton. In dezelfde maand dat Uber zijn lek eindelijk openbaar maakte, werd overeengekomen dat de hotelketen een schikkingsbedrag van $700.000 gaat betalen omdat het zijn gasten niet snel genoeg op de hoogte bracht van datalekken. In 2014 en 2015 werd de keten meerdere keren getroffen door computerhacks. Terwijl hierbij meer dan 363.000 creditcardnummers voor iedereen toegankelijk werden, duurde het tot november 2015 voordat de getroffen klanten werden ingelicht, ruim negen maanden nadat het eerste lek werd ontdekt. 

Implementatie lastig

Voor organisaties die dergelijke schandalen wensen te vermijden, is het natuurlijk van belang goed voorbereid te zijn op de komende veranderingen. Een succesvolle implementatie van een nieuw beveiligings- en privacybeleid is echter een omvangrijk project dat zijn weerslag heeft op alle onderdelen van een organisatie, waaronder de algehele informatiehuishouding en de organisatieprocessen en -systemen. Managers die ondersteuning nodig hebben bij de voorbereiding van zo’n lastig traject, kunnen daarvoor nu gebruikmaken van een nieuw instrument van Centric. De Nederlandse IT-dienstverlener, waar zo’n 5.000 mensen werken, heeft hiervoor het 'Centric Privacy Framework’ ontwikkeld.  

De schriftelijke uitwerking van de AVG heeft – wellicht weinig verrassend – een lijvig en taai stuk tekst opgeleverd. Vanuit 173 overwegingen is men tot 99 wetsartikelen gekomen, die allen zijn verwerkt in een 98 pagina’s tellend document. Onderzoekers van Centric bestudeerden de 99 artikelen en concludeerden dat de kernpunten uit de verordening grofweg zijn in te delen in vijf categorieën: compliancy, transparency, security, governance en organization. Per categorie geeft het framework aan wat er van organisaties gevraagd wordt. Zo verschaft Centric overzicht in de benodigde activiteiten zoals die voor veel organisaties zullen uitpakken, en helpt het deze organisaties, in de woorden van de securityspecialist, “te ontdekken waar de verschillende artikelen uit de wet raakvlakken hebben”. 

Centric Privacy Framework

1. Compliancy

Het eerste thema, compliancy, helpt managers bij het verkrijgen van overzicht ten opzichte van de diverse informatie-items en rechtmatigheid van de verwerkingen van persoonlijke data. Organisaties moeten aantoonbaar maken dat de wijze van verwerking voldoet aan de AVG-vereisten. Daarvoor is het volgens van Centric van belang per item vast te stellen om wat voor gegevens het gaat en wat ermee mag gebeuren. Zo maakt de wet op basis van de gevoeligheid onderscheid tussen typen data. Er zijn criteria voor “bijzondere persoonsgegevens”, die bijvoorbeeld betrekking hebben op “ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond”. 

Verder stelt de AVG dat de persoonsgegevens alleen mogen worden gebruikt voor duidelijke (uitdrukkelijk omschreven) en correcte doeleinden. Hiervoor is het nodig vast te stellen of er niet te veel gegevens worden verzameld, aangezien de toegestane vergaring beperkt blijft tot die data die echt noodzakelijk is voor de vastgestelde doelen. Ook mag deze data niet meer worden bewaard zodra het gerelateerde doel verdwijnt. Voor de verzameling en verwerking van persoonsgegevens is verder de expliciete toestemming van de betrokkene verplicht in het geval er geen gerechtvaardigd belang is om de gegevens te verzamelen. Tot slot moeten bedrijven voldoende technische en organisatorische maatregelen te nemen om alle persoonsgegevens adequaat te beschermen.

2. Transparency

Instellingen die persoonsgegevens verwerken, zijn volgens het transparantiebeginsel verplicht daarover open en eerlijk te zijn. Betrokkenen moeten worden ingelicht over welke gegevens worden verzameld, met welk doel dat gebeurt, aan wie de gegevens worden verstrekt, hoe lang de gegevens worden bewaard en welke rechten de betrokkene heeft. Ook heeft deze het recht van inzage van zijn of haar gegevens. En indien blijkt dat bepaalde gegevens niet kloppen, moet de instelling dit rectificeren. Bovendien is via het recht op dataportabiliteit bepaald dat data die onder toestemming van betrokkenen is verzameld, in bruikbare vorm aan hen moet worden verstrekt indien zij erom vragen. 

Daarnaast is er het recht op gegevenswissing, oftewel het “recht op vergetelheid”. Wanneer de betrokkene erom vraagt, zijn organisaties verplicht diens gegevens direct te wissen indien ze niet meer worden gebruikt voor het doel waarvoor ze werden verzameld en er geen ander gerechtvaardigd belang voor het beschikbaar houden van de gegevens is. De overheid zal bijvoorbeeld in bepaalde gevallen de gegevens moeten bewaren vanuit wettelijke verplichtingen of in het kader van de functie die overheidsorganisaties soms hebben ten behoeve van het algemeen belang. 

3. Security

Om te zorgen dat bedrijven hun gevoelige data goed beschermen, eist de AVG dat hiervoor passende technische én organisatorische maatregelen worden genomen. Centric benadrukt hierbij vooral het organisatorische aspect, waarbij erop wordt gewezen dat beveiligingsfouten vaak het resultaat zijn van menselijke fouten, zoals ook al werd betoogd in een recent verschenen rapport. Geschikte maatregelen zijn afgestemd op de gegevens waarmee een organisatie werkt en de geldende risico’s voor de rechten en vrijheden van natuurlijke personen. Verder raadt Centric aan goed te kijken naar best practices en standaarden in databeveiliging. 

Ook moeten bedrijven de actualiteit en effectiviteit van deze beschermende maatregelen periodiek evalueren. Hierbij refereert Centric aan een belangrijke stelregel over informatiebeveiliging: “Security is een proces, geen project”, waarmee de beveiligingsspecialist erop doelt dat het eenmalig inrichten en doorvoeren van beveiliging onvoldoende is. Dit vanwege de vele snelle veranderingen binnen het vakgebied: “De informatie waarmee u werkt verandert, de systemen waarmee u dat doet veranderen en de risico’s voor de informatievoorziening veranderen mee.” 

Quote Gerard Stroeve

4. Governance

Organisaties die hun governance op orde hebben, beschikken over structuren en processen die ervoor zorgen dat er op een betrouwbare manier wordt omgegaan met gevoelige gegevens. Dit betekent bijvoorbeeld dat er voor verwerkingen met een hoog risico een gegevensbeschermings-effectbeoordeling moet worden uitgevoerd. Zo moet, bijvoorbeeld bij verwerkingen waarbij nieuwe technologieën worden gebruikt, duidelijk zijn wat het effect ervan op de privacy van de betrokkenen is. Hetzelfde geldt bij profilering en grootschalige dataverwerking. Organisaties moeten, om ‘in control’ te blijven, ook zorgen dat hun partners en leveranciers zich aan de AVG houden en zorgvuldig omgaan met de betreffende persoonsgegevens, waarvoor met hen verwerkersovereenkomsten moeten worden gesloten. 

De in 2016 ingevoerde meldplicht datalekken blijft in de AVG grotendeels onveranderd. Wanneer een lek een risico oplevert voor iemands rechten en vrijheden, moeten organisaties dit zo snel mogelijk melden aan de Autoriteit Persoonsgegevens, oftewel “zonder onredelijke vertraging en zo mogelijk ten minste binnen 72 uur”. Het gegevenslek moet ook worden gedocumenteerd, waarbij bepaalde vaste informatie over het lek moet worden vastgelegd. In bepaalde gevoelige gevallen dient daarnaast ook een melding te worden gemaakt aan de betrokken personen.

5. Organisatie

In de AVG wordt benadrukt dat het veilig omgaan met gevoelige informatie staat of valt met de mate waarin dit onderwerp leeft binnen een organisatie. In dit kader wordt aangeraden een privacymanagementproces op te stellen zodat alle onderwerpen uit de AVG “doorlopend aandacht krijgen”. Bepaalde organisaties zijn ook verplicht een functionaris voor de gegevensbescherming aan te stellen. Dit geldt in ieder geval voor overheidsinstanties en -organen, organisaties die stelselmatig op grote schaal betrokkenen observeren en organisaties die op grote schaal gevoelige persoonsgegevens verwerken. Ook voor andere bedrijven is het volgens Centric echter aan te raden aan zo’n functionaris aan te stellen.

“Het zal duidelijk zijn geworden dat het implementeren van de Algemene Verordening Persoonsgegevens de nodige inspanning vraagt van uw organisatie”, aldus Gerard Stroeve, Security & Privacy-expert bij Centric. Hij besluit door op te merken dat Centrics framework weliswaar een handig instrument vormt, maar dat het uiteraard verstandig is ook de AVG zelf te bestuderen: “Het is goed te realiseren dat de gehele AVG breder is dan uitsluitend de vijf aandachtgebieden en activiteiten zoals in deze whitepaper benoemd. Deze whitepaper en het Centric Privacy Framework beogen een globaal, praktisch handvat te bieden voor de implementatie van de AVG. De interpretatie en implementatie van de verordening vraagt echter ook om een organisatie specifieke en juridische beoordeling.”

Meer informatie over het Privacy Framework en compliance-tips zijn te vinden in de volledige AVG whitepaper.

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly Berk BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup