GDPR (14) Risicoanalyse van persoonsgegevens

21 november 2017

De GDPR legt veel klemtoon op de verplichting voor elke verantwoordelijke of verwerker van persoonsgegevens om afdoende bescherming te bieden voor de vertrouwelijkheid, de integriteit en de beschikbaar van de data. Ook als je niet beschikt over gespecialiseerd personeel, is het perfect mogelijk hieraan te voldoen. Je kan op een vereenvoudigde manier dezelfde stappen doorlopen.

Het uitgangspunt voor alle maatregelen is een risicoanalyse. Dit klinkt moeilijk en gewichtig, maar hoeft helemaal niet zo zwaar te wegen. Neem gewoon je register van gegevensverwerkingen en overloop dit stap voor stap. Stel jezelf een paar gerichte vragen. Voeg aan je register twee extra kolommen toe. Daarin formuleer je welke risico’s aan elke specifieke verwerking verbonden zijn en met welke maatregelen je deze kunt beperken.

Ik geef een paar simpele voorbeelden, die in je eigen register waarschijnlijk ook voorkomen. Je beschikt over een verzameling contactgegevens van mensen die je graag af en toe informatie doorstuurt over je producten en diensten. Je houdt uiteraard hun naam en adres bij maar ook hun bedrijf, hun functie en misschien info over hun studies, hun hobby, hun interessegebieden. Daarnaast heb je allerlei gegevens over je eigen personeel. Je houdt hun CV bij en de verslagen van de jaarlijkse evaluatie. Je geeft elke maand door aan het sociaal secretariaat wie wanneer verlof genomen heeft of ziek was. Je moet de samenstelling van hun gezin kennen, want de bedrijfsvoorheffing moet daarmee berekend worden. Misschien filmen je bewakingscamera’s iedereen bij het binnenkomen en weggaan. En ga zo maar door. Er zijn geen omgevingen denkbaar waar helemaal geen persoonsgegevens verwerkt worden.

Welke risico’s zijn er voor de veiligheid van deze informatie? Veel hangt af van de manier waarop je de gegevens bewaart of in de vakterminologie van ‘de gebruikte technologie’.

  • Werk je met papieren dossiers, dan is de vraag of de ‘fichenbak’ en de ‘mappen’ open en bloot op je bureau staan of op slot in een kast. Het is dan van belang wie toegang heeft tot je kantoor en wie bij de sleutel van de kast kan. Sluit je de deur als je weggaat? Ruim je op?
  • Als je een bestand op computer bijhoudt, zijn de vragen in feite dezelfde, maar de antwoorden iets complexer. Misschien werk je lokaal op een laptop. Staat er een wachtwoord? Ben je zelf de enige die dit wachtwoord kent? Zitten de vertrouwelijke persoonsgegevens in een bestand waarop je een wachtwoord hebt gezet? Als je je laptop meeneemt buiten het bedrijf, is hij dan extra beschermd? Laat je hem soms achter in de wagen? Waar bewaar je hem thuis?
  • Als de gegevens niet lokaal staan, maar op een server, dan is de situatie weer verschillend. Hebben alle gebruikers van de server toegang tot alle data? Is dat eigenlijk nodig? Kun je de server niet in zones opsplitsen en andere autorisatie toekennen aan verschillende gebruikers of groepen? Worden er backups gemaakt van de server en waar worden die bewaard? Is er een IT-firma die onderhoud op het serverpark doet? Hebben zij toegang tot alle data? Is met hen afgesproken wat ze wel en niet mogen doen, ook al hebben ze in feite alle rechten (omdat ze die voor hun taak nodig hebben)?
  • Staan de data misschien ‘in the cloud’? Waar bevinden ze zich dan en wie heeft er toegang toe? Welke garanties geeft de cloud provider? Worden data misschien in het buitenland geplaatst of zelfs buiten Europa en dus wat verder af van de bescherming van de GDPR? Verloopt de transmissie van data veilig?
  • Worden de beelden van de beveiligingscamera’s opgeslagen en bewaard? Hoe lang hou je ze bij? Wie kan ze bekijken en in welke omstandigheden worden ze effectief geraadpleegd?

Zoals de gestelde vragen al suggereren, kun je in elk van deze situaties maatregelen nemen om de kans op inbreuken sterk te reduceren. De voorbeelden tonen ook aan dat de risico’s verschillend zijn naargelang de precieze inhoud van de bestanden. Als het bij louter contactgegevens blijft, heeft een schending van de vertrouwelijkheid geen grote impact. Maar dat is helemaal anders als het over sommige personeelsgegevens gaat. Ook als u bijvoorbeeld in de gezondheidszorg werkt en gevoelige data van patiënten of cliënten bijhoudt, wat neerkomt op medische gegevens, is een veel striktere beveiliging nodig, precies omdat een inbreuk op de vertrouwelijkheid of de integriteit veel zwaardere gevolgen kan hebben. Afhankelijk van de omvang van de database wordt de impact ook groter naarmate de gegevens over meer betrokkenen gaan. De maatregelen die je neemt in relatie tot elk van de opgesomde risico’s, moeten altijd in evenwicht zijn met de inschatting van het risico.

Het is dan ook logisch dat de GDPR grotere verplichtingen oplegt aan iedereen die speciale categorieën van gegevens gebruikt of aan elke organisatie die systematisch persoonsgegevens verwerkt als kernactiviteit. In sommige gevallen moet een formele Data Privacy Impact Analyse (DPIA) worden opgesteld en voorgelegd aan de Privacy commissie voordat de verwerking start.

Los daarvan is het voor elke firma of organisatie raadzaam in grote lijnen dezelfde oefening te doen. Om op elk gewenst moment te kunnen aantonen dat je bewust met persoonsgegevens omgaat, is het aangewezen de bevindingen van deze analyse ook effectief te noteren en vast te leggen. Gespecialiseerde software of methodologieën kunnen daarbij natuurlijk helpen, maar in veel gevallen is dat helemaal niet nodig. De reeds vermelde twee kolommen, die je kunt laten aansluiten bij een eenvoudig register van gegevensverwerkingen, betekenen al heel veel, als ze tenminste met zorg worden ingevuld.

In de volgende aflevering gaan we dieper in op de verschillende domeinen waarin je beschermingsmaatregelen kunt nemen om veilig persoonsgegevens te bewaren en te verwerken.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING