Op 25 mei 2018 moet iedere organisatie voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Voor wie nu nog moet beginnen is dat een bijna onmogelijke taak. Niet voldoen is geen optie, want de Europese verordening heeft rechtstreekse werking en is dus wet. ICT/Magazine loopt de vier ingewikkelde onderdelen van de nieuwe regelgeving langs met een blik op ICT.
Waar vroeger een toezichthouder vragen ging stellen, moet u nu zelf kunnen aantonen dat u aan de eisen voldoet. Zakelijk noemen we dat compliance, maar de regelgeving heeft het over ‘accountability’ en dat voert nog iets verder. Het testen van de compliancy legt bloot waar het mogelijk nog aan schort. Op die punten waar niet aan de verordening wordt voldaan, moet de organisatie wel een verhaal hebben. De AVG – in het Engels GDPR (General Data Protection Regulation) – is erg streng. Het jaar dat resteert zult u dan ook hard nodig hebben om aan te tonen dat uw gegevensverwerking compliant is.
Een hele toer
Zo moet bijvoorbeeld bekend zijn welke persoonsgegevens er allemaal worden verwerkt. Dit geldt voor organisaties met meer dan 250 medewerkers of waar met gevoelige persoonsgegevens wordt gewerkt. Hiertoe moet bekend zijn wat er allemaal in huis is. Het in kaart brengen van de reguliere systemen is soms al een hele toer, maar wat te denken van de persoonlijke spreadsheets en databases waarin medewerkers hun eigen informatie bijhouden? Natuurlijk zijn daar tools voor beschikbaar die directories nalopen op bestanden met mogelijke persoonsgegevens. Alleen zal een ondernemingsraad niet blij zijn als de werkgever de directories van medewerkers gaat doorzoeken. Daar moet dus wel iets geregeld worden.
Accountability
De eenmaal gevonden rekenbladen, losse bestanden en databases voldoen in veel gevallen niet aan de verordening. Rekenschap (accountability) betekent – onder omstandigheden – namelijk ook bijhouden wanneer gegevens zijn benaderd en waarom. In de praktijk betekent dit dat veel van de houtje-touwtje-oplossingen niet voldoen en eigenlijk in een systeem moeten worden ondergebracht dat wel voldoet. Bovendien moeten de medewerkers worden geïnstrueerd hoe zij vanaf nu moeten administreren wanneer en waarom zij bepaalde gegevens benaderen.
Ook ten aanzien van data-analyse en (big) datasystemen moet aan te tonen zijn dat uw organisatie daadwerkelijk voldoet aan de regelgeving. In deze tijd van clouddiensten, outsourcing en andere vormen van dienstverlening is veel verwerking niet meer in handen van de eigen organisatie. Veel persoonsgegevens zijn ‘in handen’ van derde partijen. De huidige Wet bescherming persoonsgegevens (Wbp) verplicht al tot het sluiten van bewerkersovereenkomsten. De AVG noemt dit weliswaar een ‘verwerkersovereenkomst’, maar het principe blijft hetzelfde. In de nieuwe vorm moet u niet alleen afspraken maken over hoe er met persoonsgegevens wordt omgesprongen. Deze informatie moet u ook klaar hebben liggen.
Andere ontwikkelprocessen
Met de opmars van scrum, continuous delivery, devops en dergelijke is de aanpak van het maken van een systeem veranderd. In plaats van een systeem te bouwen dat in één klap wordt geïntroduceerd, wordt nu een basissysteem gemaakt dat vervolgens (kort)-cyclisch wordt uitgebreid en verbeterd. De kans is klein dat een systeem dat volgens die methodes wordt gemaakt voor het ingaan van de AVG helemaal klaar is. De nieuwe regelgeving eist ontwikkeling volgens ‘privacy by design’ en ‘privacy by default’. Bij het hele ontwikkelproces hoort privacy centraal te staan. Daarbij komt dat u verplicht bent een privacy impact assessment (PIA) uit te voeren.
Er moet een privacy-vriendelijke architectuur worden opgezet, waarbij gegevens alleen worden verwerkt indien noodzakelijk en data wordt vernietigd als de persoonsgegevens niet meer nodig zijn. Waar mogelijk moet worden gekozen voor anonimisering en pseudonimisering, zodat gegevens niet meer tot de persoon te herleiden zijn. De gebruikers krijgen niet meer informatie te zien dan noodzakelijk. Dat beperkt zich niet tot het opslaan of tonen van informatie; ook de beveiliging van gegevens hoort hierbij en privacy-vriendelijke technieken zoals toegangsbeveiliging, het scheiden van de opslag van verschillende soorten gegevens, het versleutelen van de gegevens en verbindingen.
De beveiliging van het verwerken van persoonsgegevens – al een belangrijk onderdeel in de Nederlandse wetgeving – blijft in de AVG overeind. Ook komt er opnieuw een meldplicht voor datalekken. Ontwikkeling volgens ‘security by design’ is onvermijdelijk geworden, al schrijft de verordening het niet expliciet voor. In de moderne, iteratieve ontwikkelmethodes is het daarom logisch om in iedere slag bepaalde beveiligingstests mee te nemen.
Rechten betrokkenen
De rechten van betrokkenen, de mensen over wie de persoonsgegevens gaan, hebben ook hun impact op systemen en vereisen soms veel implementatiewerk. Zo mag bij het ‘recht om vergeten te worden’ geëist worden gegevens te verwijderen als ze niet meer nodig zijn. Ook moet u dataportabiliteit bieden, het verhuizen van persoonsgegevens naar een andere dienstverlener. Gegevens moeten technisch dus te exporteren zijn in een ‘een elektronisch en gestructureerd algemeen gebruikt formaat’. Omgekeerd moet uiteraard ook het importeren van gegevens worden.
De betrokkenen krijgen – onder omstandigheden – het recht om data die over hen gaat digitaal te ontvangen. Het ligt dan voor de hand systemen zo in te richten – via open standaarden – dat deze gegevens vanuit bijvoorbeeld een klantenportaal te downloaden zijn. Ook moeten foutieve gegevens te wijzigen zijn (rectificeren).
Het is duidelijk dat de introductie van de AVG veel werk met zich meebrengt voor ICT. Veel systemen hebben aanpassingen nodig of moeten zelfs op de schop. Ook organisatorisch moet er enorm veel worden geregeld. Om alleen al de ict-component goed te regelen, is het overgebleven jaar echt krap aan.
