De General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, gaat over het veilig bewaren van data die betrekking heeft op persoonsgegevens. De wet is er gekomen voor de bescherming van privé-gegevens. Onder privé-gegevens verstaan we alle data die kan gelinkt worden aan een individu, zoals bijvoorbeeld naam, e-mailadres, IP-adres, bankkaartgevens, wachtwoorden, kopie identiteitsbewijs, financiële gegevens, medische en sociale gegevens. Met deze nieuwe wetgeving wil de EU in de eerste plaats de burgers weer controle geven over hun persoonlijke data. Het is dus zaak dat uw infrastructuur dusdanig is opgebouwd dat het lekken of verliezen van data (wat ook gezien wordt als een datalek) voorkomen wordt. U moet aan kunnen tonen dat u er binnen redelijke grenzen alles aan gedaan hebt om dataverlies te voorkomen.

Mijn leverancier is groot/bekend/marktleider, dus mag ik toch aannemen dat het goed geregeld is?

GDPR in het kort:

  • Bescherming van persoonlijke data van de Europese burger
  • Maatregelen tegen hackers, dataverlies en datalekken
  • Procedure voor dataverzameling en -opslag van persoonlijke gegevens
  • Toestemming vragen om gegevens te verzamelen en gebruiken
  • Individu heeft het recht om ‘vergeten te worden’
  • Verhoogde veiligheidsmaatregelen zijn nodig
  • Datalek moet u kunnen melden binnen 72 uur
  • De Nationale Autoriteiten kunnen boetes toepassen
  • In grote organisaties moet een DPO (Data Protection Officer) aangesteld  worden
  • Data mag niet zonder reden bewaard worden. U mag niet meer gegevens bewaren dan absoluut noodzakelijk

Voor wie geldt GDPR?

Die geld voor alle bedrijven die:
 

  • Gevestigd zijn in de EU
  • Gevestigd buiten de EU, maar goederen en/of diensten leveren aan EU burgers
  • Persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU burgers

Wanneer mag u data bewaren van een betrokkene?

  • Als u toestemming hebt van de betrokkene
  • Het van vitaal belang is = Leven of dood
  • Om te voldoen aan uw wettelijke verplichtingen
  • Het expliciet overeengekomen is
  • Gerechtvaardigd belang. Commerciele doelen zijn geen gerechtvaardigd belang!

Aannames, privacy en security

Aannames, daar is wat mee.
Mocht u aansprakelijk gesteld worden voor dataverlies dan bied het verweer "Mijn leverancier is groot/bekend/marktleider en dus mag ik toch aannemen dat het goed geregeld is" weinig bescherming. Sterker nog, het wordt een heel kort verhaal. Helaas wordt er veel aangenomen in ICT. We nemen aan dat beheerders ter goeder trouw zijn, al weten veel cloudproviders zelf niet wie er allemaal bij kan. We nemen aan dat het netwerk beveiligd is, want wij hebben een goede ICT-leverancier. We nemen aan dat het encryptie standaard aan staat terwijl het standaard uit staat.

Het probleem is natuurlijk dat beveiliging belemmerend kan werken en u waarschijnlijk niet kan oordelen of het veilig is. Maar het blindelings geloven van een leverancier zonder door te vragen is niet de goede weg. "Zij zeiden dat" is een slecht verweer. En om die reden hebben wij onze manier van werken gewoon online gezet. Het zou immers geen geheim moeten zijn hoe wij ons werk goed doen. U kunt het helemaal nalezen op https://www.tuxis.nl/policies

Ook u bewaart persoonlijke data

Waarschijnlijk verzamelt u op dit moment al data. Denk aan formulieren op uw website, inschrijvingen van bezoekers voor een evenement of een webwinkel die adresgegevens bewaard. Maar ook uw e-mail kan persoonlijke data bevatten. Bestanden evenals uw boekhouding bevatten vaak persoonlijke data. Uw adresboek op uw mobiele telefoon valt zelfs onder deze wetgeving.
Het is dus zaak dat ALLE communicatie versleuteld is en data veilig bewaard wordt. Er vanuitgaan dat alle data waardevol is en in principe NIET bewaard mag worden.

Standaard bij Tuxis: “Privacy by design”

De GDPR-wetgeving benadrukt het feit dat de architectuur en het ontwerp van informatiesystemen invulling moeten geven aan het begrip “privacy by design”. Dit betekent dat niet alleen de beveiliging en privacy van informatie maar ook de beheersprocessen en –procedures vanuit dit perspectief ontworpen moeten zijn. Daarmee zal het een serieuze invloed hebben op iedere fase van de levenscyclus van informatiesystemen die privacygevoelige informatie bevatten. Dit is ook meteen één van de grootste problemen waar organisaties mee worstelen. Hun informatie-infrastructuur is over het algemeen ontworpen en ingericht zonder dat hiermee rekening is gehouden.

Het is nooit te laat om uw "design" samen met ons door te lopen. Dan kunnen we samen kijken waar wij knelpunten zien en het anders zouden doen.

De verschillende partijen in GDPR

 

  1. Betrokkene

 

Die is eigenaar van de data. Het zijn de persoonsgegevens van de betrokkene die beschermd moeten worden.

  1. Verantwoordelijke

Diegen die bepaald wat er bewaard wordt en hoe dat gebruikt wordt. In ons geval bent u dat.
 

  1. Verwerker/subverwerker

Diegene die mogelijk toegang tot de data kan hebben of de data opslaat. Dat is onze rol voor onze klanten.

Gevaar: Medeverantwoordelijke

Er kan een verantwoordelijke zijn waar u geen weet van heeft. Iedereen die bepaald wat er bewaard wordt en wat er met die data gedaan wordt is verantwoordelijke. Als u dus denkt dat uw leverancier uw data niet gebruikt maar zij doen dat toch, dan zij medeverantwoordelijke. Een dienstverlener die bijvoorbeeld een tekstverwerker, mailoplossing, websitestatistieken of fileopslagdienst levert en de data scant voor advertenties of statistieken is ook verantwoordelijke. Ongeacht of ze de daadwerkelijke gegevens delen of u op de hoogte hebben gesteld zijn ze medeverantwoordelijke geworden.

U en uw leverancier zijn in dat geval verantwoordelijke. Dat betekent dat de verwerkersovereenkomst die u van die leverancier hebt gekregen niet meer geldig is. Je kan niet verwerker en verantwoordelijke zijn van één dienst. Wanneer er data gelekt wordt mag de Autoriteit Persoonsgegevens zelf bepalen welke verantwoordelijke zij daarop aanspreken en beboeten. Ze zullen de makkelijkste kiezen en dat is niet die gigantische leverancier.

Het bovenstaande is natuurlijk een groot risico van de public cloud. Als een leverancier de data scant om ergens te vermelden dan ze wel 60.000.000 adressen bewaren is dat al reden om als verwerker gezien te worden.

Private cloud?

Wellicht begrijpt u waarom wij altijd voorstander waren van een private cloud terwijl wij zelf ook public cloud diensten leveren. Wij scannen in onze public clouddiensten niet uw data en blijven dus verwerker. Ons verdienmodel is dan ook niet het vergaren van data (Zie Gevaar: Medeverantwoordelijke). De beveiliging van een private cloud is vele malen eenvoudiger omdat er veel minder aannames van uw kant gedaan hoeven te worden en past dus bij het "privacy by design" principe. Het is gewoonlijk ook voordeliger dan public cloud. Oftewel win/win.

Wat wij voor u uit handen kunnen nemen in de cloud:
 

  • Netwerkbeveiliging
  • Infrastructuur beveiliging
  • Storage & back-up
  • Data encryptie
  • Fysieke beveiliging van het datacenter

Relevante documentatie

De onderstaande documentatie is relevant voor u.

  • Privacy policy Wij bewaren data van u omdat u klant bent en wij voor die gegevens de rol van verantwoordelijke hebben.
  • Algemene voorwaarden Wij zijn verwerker omdat wij data voor u bewaren. In de bijlage van onze algemene voorwaarden zit de verwerkersovereenkomst verwerkt.
  • Sensible use policy Welke soorten data u kunt opslaan in welk product staat hier omschreven. Daar staat ook hoe wij zorgen dat die data veilig staat.
  • Algemene policies De policies volgens welke wij werken.

Neem gerust contact op als u twijfelt of de diensten die u nu afneemt aansluiten bij uw eisen om data te beveiligen.