GDPR (21) Accountability onder de GDPR

2 februari 2018

Nu we zo ongeveer het hele terrein van de GDPR overlopen hebben, schieten er nog een paar onderwerpen over die we meer globaal moeten behandelen. Eén ervan is de accountability of aansprakelijkheid van verwerkers en zeker van verantwoordelijken voor de verwerking. Iedereen die persoonsgegevens verwerkt, is verplicht de voorschriften van de GDPR na te komen en moet op elk moment ook duidelijk kunnen aantonen en bewijzen dat hij dit doet. Wie vertrouwd is met audits, weet wat dit betekent. Na de vraag hoe je je georganiseerd hebt om aan bepaalde verplichtingen te voldoen, volgt steevast ook de opdracht aan te tonen dat je daadwerkelijk je procedures volgt en hierop voldoende controle uitoefent bij je medewerkers. Daarover gaat deze aflevering.

Om te kunnen aantonen dat je alle aspecten van de GDPR kent en begrijpt en de consequenties ervan hebt doorgetrokken in je eigen organisatie, is er wel wat administratie nodig. Vooral in een kleine firma, organisatie of vereniging komt het erop aan dit pragmatisch maar toch volledig door te voeren. We hebben hier en daar in deze blog al wat tips gegeven hoe je hieraan kunt voldoen. Het zal er in de toekomst op aankomen de documentatie steeds op peil te houden.

Om te beginnen moet je ervoor zorgen voldoende kennis in huis te halen. Organisaties met een Data Protection Officer vertrouwen de verantwoordelijkheid hiervoor aan hem (en zijn medewerkers) toe. Maar ook zonder DPO moet je geïnformeerd zijn en je werknemers opleiden.

Het centrale punt om je compliance aan te tonen is het register van verwerkingen van persoonsgegevens. Het is op zichzelf al een vereiste van de GDPR dergelijk register bij te houden. Tegelijk is dit het ideale vertrekpunt om je beheersing van data privacy te documenteren. Voor elke beschreven verwerking toon je hierin aan dat je hebt nagedacht over het doel en de rechtsgrond voor de verwerking en dat je de risico’s op een datalek hebt afgewogen en daartegen maximale beveiliging hebt georganiseerd. Uiteraard moet je ook een goede procedure uitwerken om te verzekeren dat deze informatie compleet blijft. Elke verwerking die erbij komt, moet in het register opgenomen worden. Hier is een belangrijke rol weggelegd voor de Data Protection Officer, die hierbij helpt en toezicht houdt op het stipte uitvoeren van deze procedure.

Voor belangrijke projecten kan dit vooronderzoek verder geformaliseerd worden. Dan spreken we van een Data Privacy Impact Analyse (DPIA). Dit is een formele doorlichting van een verwerking met de bedoeling alle mogelijke risico’s voor inbreuken op de privacy te definiëren, alle beschermende maatregelen op te sommen en af te wegen of de doelstelling en de rechtsgrond om de verwerking te doen wel degelijk opwegen tegen de risico’s die nog overblijven. Voor intensieve verwerkingen van speciale categorieën van persoonsgegevens moet dergelijke DPIA ter goedkeuring voorgelegd worden aan de gegevensbeschermingsautoriteit of DPA (de vroegere Privacy Commissie).

Ook alle maatregelen die je neemt ter beveiliging moeten uiteraard goed gedocumenteerd worden. Bij controle veronderstelt men dat je meteen kunt laten zien welke procedures van toepassing zijn, van wanneer de laatste versie dateert, op wie elke procedure van toepassing is en of deze medewerkers  op de hoogte zijn en de instructies kennen… Als bij bepaalde procedures terugkerende controleacties horen, is het belangrijk op één of andere manier vast te leggen dat deze controles ook daadwerkelijk gebeuren. Technische logbestanden of rapporten van monitoring hou je best een tijdlang bij. Indien manuele controles gebeuren, moet je hiervan bijvoorbeeld een kort verslag maken of een lijstje bijhouden, om te kunnen aantonen wie op welk moment deze controles heeft uitgevoerd. Het hele beveiligingssysteem moet ook op regelmatige basis, minstens één keer per jaar, geëvalueerd worden en bijgestuurd, rekening houdend met wijzigingen in de organisatie, in de gebruikte tools en technieken of in de beschikbare beveiligingsoplossingen.

In samenhang hiermee moet je veel zorg besteden aan het loggen van incidenten en zeker datalekken. Elk voorval dat indruist tegen de normale beveiligingsprocedures of elke vaststelling die aan het licht brengt dat er een risico op een datalek is of geweest is, moet nauwkeurig genoteerd worden in een incidentenlijst. De items in dergelijke lijst dienen vanzelfsprekend verder onderzocht te worden, om de dieperliggende oorzaak te kennen. Tegelijk worden acties gedefinieerd om het risico te verminderen. Dit kan gaan om extra technische beveiligingsmaatregelen of om bijkomende of aangepaste procedures en controles, om nieuwe rapportering of logging enz. Om je accountability te kunnen aantonen is het belangrijk dit te documenteren. Daar heb je niet per se een ingewikkeld opvolgingssysteem voor nodig, maar op zijn minst enkele overzichtelijke lijsten: alle incidenten met hun analyse en de afgesproken remediëring, en alle actiepunten, de verantwoordelijke ervoor en de status.

Speciale aandacht is nodig voor de contractuele afspraken met partners of leveranciers. Aan de hand van een verwerkersovereenkomst moet je afdwingen dat ook je onderaannemers de wetgeving adequaat opvolgen. Het is een goed idee ook een register bij te houden van onderaannemers aan wie je verwerkingen van persoonsgegevens toevertrouwt en goed vast te leggen welk hun opdracht precies is en op welke manier je daarover afspraken maakt. Daar kan dan de specifieke overeenkomst aan gekoppeld worden. Omgekeerd moet je er ook over waken dat je zelf goed in orde bent als je als verwerker optreedt in opdracht van een klant. Dergelijke verwerkingen moeten in je register opgenomen zijn, ook al zijn minder details nodig dan voor de verwerkingen waarvan je zelf de verantwoordelijke bent. Ook in dit geval is het belangrijk alle cruciale afspraken in een verwerkersovereenkomst op te nemen.

Tenslotte moet je kunnen aantonen dat je daadwerkelijk de rechten van de betrokkenen kunt garanderen. Er moeten goede afspraken zijn over de te volgen procedure als een betrokkene vragen stelt. Ook van alle activiteiten in dit verband hou je best een soort van register bij. Als je elke aanvraag van een individuele persoon noteert, met de datum en tijd dat deze is binnengekomen en vervolgens elke actie die genomen wordt, kun je in eerste instantie voor jezelf opvolgen of je tijdig reageert en de gepaste antwoorden hebt gegeven. Maar je kunt ook te allen tijde bij een controle door de gegevensbeschermingsautoriteit  of ingeval van een klacht aantonen dat je naar best vermogen de wet vervult. Vooral als je aan bepaalde verzoeken niet wilt of kunt voldoen, is het van belang de gevolgde argumentatie bij te houden.

Het is dus niet genoeg wettelijk in orde te zijn. Je moet dit ook documenteren en kunnen bewijzen. Tenslotte is het belangrijk bij alle toekomstige projecten vooraf reeds te anticiperen op de mogelijke risico’s voor data privacy. Dat bespreken we in de volgende aflevering.

 

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING