15 minute read
GDPR, vier magische letters
13
GDPR, vier magische letters
Advertisement
GDPR … deze vier letters kwamen helemaal tot leven op 25 mei 2018. Op die datum werd het officiële startschot gegeven voor de wetgeving General Data Protection Regulation. Ofwel in het Nederlands Algemene Verordening Gegevensbescherming (AVG). Een eerste vraag die u zich misschien stelde: valt mijn organisatie onder deze verordening? Een tweede vraag die rijst is, heeft mijn organisatie het recht om persoonsgegevens te verwerken? En tenslotte, in deze coronatijden geen onbelangrijke vraag: hoe kan ik mijn data zo goed mogelijk beveiligen bij thuiswerk en thuis vergaderen. Omdat privacy nu eenmaal een must is, zetten we graag een aantal dingen op een rijtje.
iStockphoto.com/NicoElNino.
1. Valt mijn organisatie onder de algemene verordening gegevensbescherming?
Het korte antwoord zal hoogstwaarschijnlijk JA zijn. De meeste organisaties verwerken meer persoonsgegevens dan ze denken. Bijna elke organisatie heeft: • Personeelsgegevens. • Klantgegevens en/of leveranciersgegevens. • Een website of een app. Het IP-adres is immers ook een persoonsgegeven.
De verordening is van toepassing wanneer men persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt of wanneer men deze gegevens in een bestand verzameld. Hierbij dienen we twee termen toe te lichten: • Persoonsgegevens: worden gedefinieerd als alle informatie van een natuurlijk persoon die geïdentificeerd is of kan worden geïdentificeerd. • Verwerken: zowat alle synoniemen komen in aanmerking: verzamelen, vastleggen, ordenen, structureren, doorsturen, verspreiden of op een andere wijze ter beschikking stellen, samenvoegen, wissen of vernietigen van gegevens.
Als onderneming mag u niet zomaar persoonsgegevens verzamelen en gebruiken. U mag persoonsgegevens verwerken wanneer u aan ten minste een van de volgende zes grondslagen voldoet:
2.1. Toestemming
Simpel, u vraagt mensen toestemming om hun persoonsgegevens te mogen gebruiken. U moet als organisatie kunnen aantonen dat: • deze toestemming uit vrije wil werd gegeven: er werd niemand onder druk gezet bijvoorbeeld door iemand te benadelen mocht hij of zij geen toestemming geven; • deze toestemming specifiek is: voor elk doel moet er apart toestemming worden verleend; • deze toestemming ondubbelzinnig werd gegeven: het moet hier gaan om een actieve handeling. Geen vooraf aangevinkte vakjes; en • u de betrokkene voldoende heeft geïnformeerd. U geeft aan wie uw organisatie is, waarom (het doel) u persoonsgegevens wenst te verwerken, concreet over welke persoonsgegevens het gaat. Last but not least dat de betrokkenen ten allen tijde het recht hebben deze toestemming aan te passen dan wel in te trekken.
Toestemming vragen valt niet altijd mee en is helaas niet zo simpel als het lijkt.
14
Organisaties kunnen zich op deze grondslag baseren als er in de basis een overeenkomst is en hiervoor het verwerken van persoonsgegevens noodzakelijk is.
Bijvoorbeeld: u heeft adresgegevens van klanten nodig om bestelde producten thuis te bezorgen.
2.3. Noodzakelijk voor het nakomen van een wettelijke verplichting
Werkgevers zijn bijvoorbeeld verplicht om persoonsgegevens van werknemers door te geven aan de RSZ om sociale rechten toe te kennen aan werknemers. We raden aan om goed te controleren of deze gegevensverwerking daadwerke- De Algemene Verordening lijk in een wet staat omschreven. Let op: deze grondslag geldt niet wanneer het gaat om een zeer algemene taak zoals Gegevensbescherming is van toepassing wanneer het handhaven van de openbare orde. persoonsgegevens Daarvoor geldt een andere grondslag geheel of gedeeltelijk namelijk de grondslag noodzakelijk voor het algemeen belang of openbaar gezag. geautomatiseerd worden verwerkt of in een bestand worden 2.4. Noodzakelijk ter verzameld.
bescherming van vitale belangen
Het betreft hier echt een zaak van leven of dood met andere woorden het leven of de gezondheid van iemand kan echt in gevaar zijn.
Deze grondslag kan enkel worden ingeroepen als u een publieke taak uitoefent voor het algemeen belang of voor het openbaar gezag. Bijvoorbeeld: u bent een gemeente en heeft cameratoezicht op openbare plaatsen gezet voor de veiligheid.
U kunt een beroep doen op deze grondslag als u aan drie voorwaarden voldoet. Voorwaarde 1: er bestaat een gerechtvaardigd belang. Dit belang moet rechtmatig zijn, voldoende duidelijk zijn verwoord en het moet om een belang gaan dat ook echt aanwezig is.
Voorwaarde 2: de verwerking van de persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang. U moet nagaan of • het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt = proportionaliteit • het doel niet op een andere minder ingrijpende manier voor de betrokkenen kan bereikt worden = subsidiariteit
Voorwaarde 3: er is een afweging gemaakt tussen uw belangen als organisatie en de belangen van de personen van wie u persoonsgegevens verwerkt. Ook moet u hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan uw gerechtvaardigd belang. Het gerechtvaardigd belang kan worden ingeroepen om fraude op te sporen of om marketing te versturen naar bestaande klanten over eigen producten of diensten die gelijkaardig zijn.
Tijd voor actie! U beseft dat het nu tijd wordt om eerst te inventariseren en vervolgens te bepalen op welke verwerkingsgrondslag u zich kan beroepen om persoonsgegevens te verwerken. We nemen hierbij het voorbeeld van direct marketing. Persoonsgegevens kunnen worden verwerkt langs diverse wegen (via cookies, e-mails) en via diverse kanalen (gebruik van tools, online platformen). Allemaal met één globaal doel namelijk direct marketing. Onder GDPR wordt een organisatie verplicht tot het bijhouden van een intern register van verwerkingsactiviteiten. De regelgeving voorziet één uitzondering hierop, organisaties met minder dan 250 werknemers zouden geen register moeten opstellen. U moet dan wel als organisatie formeel kunnen aantonen dat verwerkingen: • geen risico inhouden voor de betrokkenen; • er geen gevoelige en/of strafrechtelijke persoonsgegevens worden verwerkt; • deze incidenteel zijn ofwel gebeuren bij gelegenheid of toeval en niet plaatsvinden met een bepaalde regelmaat.
Goed om te weten: het komt er op neer dat zo goed als elke organisatie een register zal moeten bijhouden. Want zoals eerder aangegeven zal u als organisatie hoogstwaarschijnlijk persoonsgegevens verwerken op regelmatige basis. Denk maar aan de persoonsgegevens van uw werknemers. Als gevolg hiervan moet u een intern register opstellen.
Het opmaken van dit register is een cruciaal document. Concreet dient zo een register van verwerkingsactiviteiten volgende informatie te capteren: 1. Wat zijn de verwerkingsdoeleinden? Dit kan zijn bijvoorbeeld personeelsbeheer, direct marketing, klantenbeheer, loonadministratie, … 2. Het type van persoonsgegevens: naam, voornaam, persoonlijke kenmerken, rijksregisternummer, beeldmateriaal, … 3. Rechtsgrond. 4. De verwerker. 5. De bewaartermijn: hoe lang mag u persoonsgegevens bewaren? Het beknopte antwoord luidt: zo kort mogelijk.
Zodra uw onderneming persoonsgegevens vraagt, bent u verplicht erbij te vertellen waarvoor u deze zal gebruiken en ook hoelang u deze precies zal bewaren.
Goed om te weten: u hoeft de bewaartermijn niet noodzakelijk uit te drukken in x aantal dagen, maanden of jaren. Een optie kan zijn om een formulering op te nemen zoals “de gegevens worden bewaard tot vijf jaar na het laatste klantencontact”.
6. Een beschrijving van de technische en organisatorische beveiligingsmaatregelen.
15
3. Wat is de impact van GDPR op thuiswerk?
Elke organisatie staat voor de uitdagingen om zijn data goed te beveiligen. Vandaag is die uitdaging nog groter geworden door het vele thuiswerken en thuis vergaderen. Daarom is het belangrijk om stil te staan bij volgende onderwerpen. Duidelijke instructies aan uw medewerkers zijn cruciaal.
3.1. Thuiswerken: wat mag en wat mag niet?
Gelukkig hebben velen van ons de technische middelen en de mogelijkheid om van thuis uit te werken. Misschien is de beveiliging wel iets minder goed op orde dan op kantoor. Organisaties kunnen de dupe worden van CEO-fraude (of Business Email Compromise), phishing, enzovoort.
Wat kan u als organisatie doen? • Zorg ervoor dat medewerkers de bedrijfslaptop ten allen tijde gebruiken. Die voldoet aan uw intern beveiligingssysteem en beveiligingsprocedure. Op deze manier kan u het gebruik van sterke wachtwoorden invoeren alsook ervoor zorgen dat data wordt beveiligd door middel van encryptie.
iStockphoto.com/guvendemir.
16
iStockphoto.com/ridvan_celik.
• Zorg ervoor dat uw medewerkers via multifactorauthenticatie of tweefactorauthenticatie moeten inloggen.
Wachtwoorden alleen zijn helaas niet meer voldoende. • Maak medewerkers attent op de risico’s bij gebruik van gratis diensten. Zorg ervoor dat uw medewerkers de gevaren kennen van deze gratis tools. Het zou kunnen dat een tool gratis is omdat de aanbieder uw gegevens gebruikt voor andere doeleinden. Mogelijk is zo’n tool ook minder goed beveiligd tegen hacking. Zorg ervoor dat u als organisatie tools heeft die het gebruik van gratis diensten onnodig maakt.
3.2. Thuiswerken: surfen zonder sporen
Maak medewerkers bewust van cookies. Bij het bezoeken van websites kijken heel wat bedrijven over uw schouder mee. Uw surfgedrag bewaren zij in cookiebestanden op uw pc.
Wat zijn die cookies nu weer en hoe werkt het?
Een cookie is een klein tekstbestandje dat een website op de harde schijf van uw computer zet op het moment dat u de site bezoekt. De inhoud van dit tekstbestandje is meestal omgezet in een onleesbare computercode. De echte gegevens staan namelijk in een database van de website. De belangrijkste functie van cookies is om de ene gebruiker van de andere te onderscheiden. We komen cookies veel tegen bij websites waarbij u moet inloggen. Een cookie zorgt dat u ingelogd blijft terwijl u de site gebruikt. Cookies hebben een looptijd. Sommige cookies worden verwijderd als u uw browser afsluit. Andere (bijvoorbeeld die met inloggegevens) kunnen jaren op uw computer blijven staan alsue ze niet verwijdert.
Goed om te weten: u hoeft niet voor iedere cookie toestemming te vragen. We zetten de mogelijkheden even op een rijtje. Er bestaan drie soorten cookies die elk een andere actie van de website-eigenaar vragen.
1. Functionele cookies: deze zijn nodig om een website te laten werken. Ze bewaren bijvoorbeeld inloggegevens zodat een bezoeker een volgende keer meteen herkend en ingelogd wordt, onthouden de producten die een bezoeker in het winkelmandje plaatst, enzovoort.
Voor functionele cookies moet u geen toestemming vragen.
2. Analytische cookies: deze geven u als website-eigenaar inzicht in het gebruik van uw website. Welke pagina’s worden bezocht? Wie verlaat waar de website? Welke knoppen worden aangeklikt? Onder meer Google
Analytics maakt gebruik van analytische cookies.
Omdat enkel anonieme gegevens worden bewaard en geanalyseerd, volstaat voor analytische cookies het informeren van bezoekers.
3. Tracking cookies: deze zijn de marketingcookies waarmee het surfgedrag van bezoekers wordt gevolgd. Ze zorgen ervoor dat Google AdWords en sociale media de berichten en advertenties die aansluiten bij recente zoekacties en bezochte websites op uw scherm tonen.
Voor tracking cookies is het verplicht om toestemming te vragen en te krijgen. Enkel dan mag u deze cookies plaatsen die persoonsgerichte gegevens bewaren.
3.3. Incidenten en datalekken
Ook cybercriminelen worden nu gedwongen om van thuis uit te werken. Concreet betekent dit dat er meer pogingen zijn om servers aan te vallen, meer phishingmails alsook meer pogingen om te phishen via sociale media zoals smsberichten en whatsapp. Het is bekend dat cybercriminelen gebruikmaken van de coronacrisis door phishingmails te versturen. Dat zijn nepmails met bijvoorbeeld informatie over het coronavirus. De criminelen proberen hiermee informatie te ontfutselen of malware op uw computer te installeren. In principe komen de meerderheid van de
phisingmails in uw spam terecht. Af en toe glippen er toch een paar door de mazen van het net. Dit zijn meestal de gevaarlijkste. Cybercriminelen maken steeds vaker gebruik van phishingtechnieken. Het blijkt veel eenvoudiger te zijn om iemand op een link te laten klikken, dan in zijn computer in te breken.
De beste manier om een datalek te voorkomen is preventie. Het is daarom belangrijk dat uw medewerkers een hoog bewustzijnsniveau halen als het gaat om privacy en beveiliging. Organiseer workshops en trainingen om uw personeel bewust te maken van de risico’s. Monitor waar nodig op de handhaving van het privacy- en ICT-gebruiksbeleid zodat iedereen weet wat een incident/datalek is.
Heeft u toch pech en wordt u geconfronteerd met een datalek, kom meteen in actie. Zorg ervoor dat uw organisatie een incident response plan heeft opgesteld. Een incident response plan laat u toe om snel te kunnen reageren op een datalek via een vooraf opgemaakt actieplan. 1. Zorg voor een overzicht van de situatie en belangrijk, stel vast dat er daadwerkelijk sprake is van een datalek. 2. Neem onmiddellijk maatregelen om de schade te beperken. In sommige gevallen kan er sprake zijn van een
‘actief’ datalek wanneer bijvoorbeeld een hacker nog toegang heeft tot de data. Snelle acties en een goede risico-inschatting zijn noodzakelijk, zoals het blokkeren van accounts, het netwerk platleggen,… 3. Verzamel zoveel mogelijk informatie over het datalek.
Niet enkel over het lek zelf maar ook hoe het lek kon plaatsvinden. IT-systemen moeten zo opgezet worden dat ze dit soort informatie vanzelf verzamelen. Systemen kunnen logbestanden aanmaken waarin bestandswijzigingen en transfers worden bijgehouden gekoppeld aan gebruikers. Op deze manier kan u eenvoudig zien wie toegang heeft gehad tot welke data. 4. Ga na of u melding moet maken van het lek aan de betrokken personen. Doe dit zo snel mogelijk. U bent verplicht melding te maken wanneer het lek mogelijk schadelijk is voor de persoonlijke levenssfeer van de betrokkenen. 5. Ga na of u melding moet maken aan de
Gegevensbeschermingsautoriteit (GBA). Dit doet u binnen 72 uur na de vaststelling van een datalek. U bent verplicht een melding te maken als het datalek ernstige gevolgen kan hebben voor de betrokkenen. 6. Neem maatregelen om het lek in de toekomst te voorkomen. Indien het lek te wijten was aan onvoldoende technische veiligheidsmaatregelen, investeer dan in betere middelen. Organiseer trainingen voor uw medewerkers.
Hier een aantal tips als u toch in goed vertrouwen een bijlage heeft geopend of op een link heeft geklikt. • Verbreek de verbinding tussen uw toestel en het netwerk/ internet. Bent u via een kabel verbonden, trek de kabel gewoon uit. Bent u draadloos verbonden, schakel de
WiFi uit. Zo voorkomt u dat anderen besmet worden en verhindert u dat de aanvaller gegevens gaat versturen in uw naam. • Voer een volledige malware-scan uit met uw antivirusprogramma. Dit kan even duren. • Verander onmiddellijk uw wachtwoorden. Denk er ook aan om de antwoorden op de veiligheidsvragen te wijzigen. • Om te voorkomen dat andere ook het slachtoffer worden van phishing of valse e-mails kan u deze doorsturen naar: verdacht@safeonweb.be
Goed om te weten: GDPR verplicht u als organisatie om een register datalekken bij te houden. Het doel van een datalekregister is dat u als organisatie leert van eerdere datalekken en maatregelen neemt om de kans op nieuwe datalekken te verkleinen.
In dit register datalekken neemt u volgende informatie op: • de datum waarop een datalek plaatsvond (als u het niet precies weet, geeft u aan in welke periode het moet zijn gebeurd); • op welke datum en hoe laat u het datalek hebt ontdekt; • de naam van degene die het heeft ontdekt; • om wat voor soort datalek het gaat (bijvoorbeeld een
USB-stick waarop bestanden met personeelsdossiers stonden, is kwijtgeraakt); • om wat voor soort informatie het gaat (bijvoorbeeld salarisgegevens); • van hoeveel personen ongeveer persoonsgegevens zijn gelekt; • hoe het datalek heeft kunnen gebeuren (bijvoorbeeld omdat de HR-manager een USB-stick mee naar huis wilde nemen en de stick in de trein heeft verloren); • wat de (mogelijke) gevolgen zijn van het datalek (bijvoorbeeld derden weten hoeveel deze mensen verdienen); • of u het datalek aan de Gegevensbeschermingsautoriteit (GBA) hebt gemeld en zo ja wanneer precies en zo nee, waarom niet (bijvoorbeeld melding was niet nodig, het personeel verdient conform de cao en die is openbaar); • of u een eventuele melding binnen 72 uur na ontdekking hebt gedaan en zo nee, waarom niet; • of u het datalek aan de gedupeerden hebt gemeld en zo ja op welke manier en wanneer u dat hebt gedaan; • welke maatregelen u hebt getroffen om toekomstige lekken te voorkomen (bijvoorbeeld een memo naar alle medewerkers waarin staat dat personeel geen USB-sticks meer mee uit het kantoor mag nemen).
17
3.4. Veilig digitaal vergaderen
Praktisch iedereen is volop bezig met digitaal vergaderen in verschillende vergadertools. We stellen vast dat de aandachtspunten voor informatiebeveiliging en privacy bij videobellen dezelfde zijn als deze bij e-mail. Er blijft altijd een zekere mate van beveiligings- en privacyrisico bij het gebruik. Hierbij enkele aandachtpunten bij het gebruik van applicaties inzake digitaal vergaderen.
18
Aandachtspunten inzake technische beveiliging
Ga na of uw vergadertool over volgende security maatregelen beschikt: • End-to-end encryption. • Unieke vergader ID’s die maar door een persoon kunnen gebruikt worden. • Een datacenter binnen de EU heeft. • Check de instellingen van uw applicatie. Niet alle privacy- en security-instellingen staan standaard ingesteld. Soms moet u handmatig opties aan- of uitvinken.
• Zorg ervoor dat de omgang met en inrichting van de tool zoveel mogelijk privacy vriendelijk gebeurt: zet (attention) trackingfuncties uit en neem het gesprek niet op. • Maak gebruik van de wachtkamer. Vergadertools hebben vaak de optie om een wachtkamer of lobby in te stellen.
Dan loggen de deelnemers in en moeten ze worden toegelaten door de host van de vergadering. Dit geeft de host controle om te kijken wie er binnenkomt en wanneer. • Maak medewerkers bewust van de omgeving wanneer u de tool gebruikt. Denk om zaken zoals wie kan meeluisteren, of er (gevoelige) persoonsgegevens in beeld zijn tijdens de videoconference en het afsluiten van de videoconference na afronding van het gesprek. Houd rekening met het feit dat wat u bespreekt in principe openbaar zou kunnen worden. • Gebruik de mute-knop. Het kan handig zijn om de microfoon van de deelnemers te dempen. Dit voorkomt dat
mensen de vergadering kunnen verstoren alsook dat er geen omgevingsgeluid te horen is. • Let op wat in beeld is van de camera. Haal vertrouwelijke documenten en informatie uit het zicht zoals info op whiteboards. • Beperk de mogelijkheden om een scherm te delen tot de host van een vergadering. Hiermee wordt voorkomen dat een deelnemer per ongeluk zijn scherm deelt. Let op dat niet de hele desktop wordt gedeeld.
Goed om te weten: tijdens het thuiswerken kunnen huisgenoten delen van het gesprek meekrijgen. Ga daarom vertrouwelijk om met bedrijfsinformatie.
Tot slot. Het niet respecteren van deze privacyregels kan leiden tot reputatieschade en zelfs tot boetes voor uw onderneming als iemand een klacht zou indienen wegens het schenden van zijn privacy. Het is belangrijk dat uw organisatie niet alleen gezond is op financieel vlak maar ook met respect voor de privacyregels. Bestaande policies en procedures over hoe omgaan met bepaalde bedrijfsdata zijn dringend aan een bijwerking toe. Wacht daarmee niet te lang, COVID-19 mag niet het codewoord worden om privacyregels overboord te gooien.
iStockphoto.com/ipopba.
