Persoonsgegevensbescherming in a nutshell. Stap 9: meld een datalek.

13/08/2018     Informatieveiligheid en Security     Louis Descheemaecker

In de vorige stappen hebben we gezien hoe je een gegevensbeschermingsbeleid opstelt (stap 4), hoe je de verwerking van persoonsgegevens in kaart brengt (stappen 5 en 6), hoe je persoonsgegevens beveiligt (stap 7) en hoe je goede afspraken maakt met verwerkers omtrent de verwerking van persoonsgegevens (stap 8). Maar ondanks al onze inspanningen doet het worst-case scenario zich voor. Een datalek. En nu?

Neem volgende stappen:

• Ga na of je het datalek aan de Gegevensbeschermingsautoriteit moet melden.
• Ga na of je het datalek aan de betrokkenen moet melden.
• Documenteer het datalek in een datalekregister (intern document).
• Meld het datalek aan de Gegevensbeschermingsautoriteit en, indien vereist, aan de betrokkenen.
• Neem de nodige maatregelen om het datalek op te lossen.

In wat volgt zullen we op al deze stappen inzoomen.

Wat is een datalek?

Artikel 4 van de AVG definieert een aantal belangrijke termen. Zo omschrijft puntje 12 een datalek (“inbreuk in verband met persoonsgegevens”) als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Het is dus niet vereist dat een derde gebruikmaakt van de persoonsgegevens. Het feit dat een onbevoegde er toegang toe heeft is voldoende om te kunnen spreken over een datalek.

Meld een datalek altijd eerst intern aan de DPO. Hij/Zij is het best in staat om in te schatten wat de impact is van het datalek en hoe er best over gecommuniceerd wordt richting betrokkenen, indien nodig.

Voorbeelden van datalekken zijn:

• het hacken van een computer waarop persoonsgegevens staan;
• het verkeerd versturen van e-mails (bv. iemand in het TO-veld zetten in plaats van in het BCC-veld);
• het verliezen van usb-sticks;
• het plaatsen van vertrouwelijke data op een publieke website;
• het verliezen van encryptiesleutels of paswoordgegevens;
• het verliezen van informatie m.b.t. betaalkaarten;
• het verliezen van persoonsgegevens door acute stroomuitval;
• …

Bij twijfel of iets al dan niet als een datalek moet beschouwd worden kunt u telkens contact opnemen met de Gegevensbeschermingsautoriteit: contact@apd-gba.be

Wanneer en aan wie moet het datalek gemeld worden?

Meld een datalek altijd eerst aan de DPO van uw organisatie. Hij/Zij heeft de nodige kennis om te bepalen of het lek moet gemeld worden en aan wie. Ook kan deze persoon adviseren welke maatregelen de organisatie moet nemen om het datalek op passende wijze weg te werken.

Om te bepalen of het datalek extern moet worden gemeld, moet je je eerst 2 essentiële vragen stellen.

• Vormt het datalek een bedreiging voor de rechten en vrijheden van de betrokkenen?

Of anders gezegd: heeft het datalek betrekking op persoonsgegevens van gevoelige aard en/of leidt het tot ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens of de kans hierop?

Persoonsgegevens van gevoelige aard zijn:

• bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen en gegevens over gezondheid;
• Rijksregisternummer;
• gegevens die kunnen leiden tot stigmatisering of uitsluiting;
• gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim.

Factoren met (kans op) ernstige nadelige gevolgen:

• omvangrijke verwerkingen of een keten van gegevensverwerking;
• ingrijpende beslissingen die worden genomen met de gegevens;
• kwetsbare groepen zoals kinderen en gehandicapten.

Als het antwoord op de vraag negatief is, los het datalek dan intern op. Je hoeft het niet extern te melden. Je hoeft ook geen rekening te houden met vraag 2.

Als het antwoord op de vraag positief is, meld dan het datalek aan de GBA. Los het vervolgens op. Ga naar vraag 2 om te bepalen of je het lek ook aan de betrokkenen moet melden.

• Houd de inbreuk waarschijnlijk een hoog risico in voor de rechten en vrijheden van natuurlijke personen?

Met andere woorden heeft de inbreuk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?

Het kernwoord hier is risico. De termen ‘risico’ en ‘hoog risico’ zijn voer voor discussie geweest aangezien de AVG weinig duidelijkheid schept hieromtrent.  Daarom heeft de Working Party 29 op 3 oktober 2017 de ‘Guidelines on Personal data breach notification under Regulation 2016/679’ gepubliceerd, waarin het een aantal factoren oplijst die leiden tot een hoger risico:

• aard en omvang van de inbreuk;
• gevoeligheid en het volume van de persoonsgegevens;
• de combinatie van verschillende persoonsgegevens en het gemak om er een persoon mee te identificeren;
• persoonsgegevens die betrekking hebben op kwetsbare personen (bv. kinderen).

Is het antwoord op de vraag negatief, dan is het voldoende om het datalek te melden aan de Gegevensbeschermingsautoriteit. Je hoeft het datalek niet te melden aan de betrokkenen.

Is het antwoord op de vraag positief, dan moet je het datalek zowel aan de Gegevensbeschermingsautoriteit als aan alle betrokkenen melden.

De richtlijn van WP29 geeft ook mee dat de mededeling aan de betrokkene niet vereist is wanneer:

• de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen waardoor de persoonsgegevens onbegrijpelijk zijn gemaakt door bijvoorbeeld encryptie;
• de verwerkingsverantwoordelijke nadien maatregelen heeft genomen om ervoor te zorgen dat het hoge risico zich niet meer zal voordoen;
• de mededeling onevenredige inspanningen zou vergen. Echter, in dit laatste geval zal een openbare mededeling moeten gebeuren zodat de betrokkene even doeltreffend zal zijn geïnformeerd (art. 34, §3 AVG).

Voordat je een datalek meldt aan de betrokkenen, meld je het aan de Gegevensbeschermingsautoriteit. Deze kan je helpen beslissen of het nodig is om de betrokkenen op de hoogte te stellen van het lek. De gegevensbeschermingsautoriteit heeft steeds een beoordelingsmarge om te bepalen of een dergelijke melding aan de betrokkenen vereist is, of, indien één van de uitzonderingen geldt, hij net geen melding hoeft te doen. Aangezien de verwerkingsverantwoordelijke iedere notificatie dient te documenteren, kan een goed gedocumenteerd document veelal in positieve zin helpen bij de beslissing van de gegevensbeschermingsautoriteit.

Hoe meld ik een datalek aan de Gegevensbeschermingsautoriteit?

Verzamel eerst en vooral de noodzakelijke informatie over het datalek. Hoe meer hoe beter. Volgende elementen zijn alvast een minimum:

• de aard van het datalek, waar mogelijk met toelichting van de categorieën van betrokkenen en het aantal betrokkenen (bv. kinderen of werknemers);
• de naam van de persoon met wie de Gegevensbeschermingsautoriteit contact kan opnemen voor meer informatie (dit kan de Data Protection Officer zijn of een andere contactpersoon);
• de (waarschijnlijke) gevolgen van het datalek (bv. identiteitsdiefstal, financiële verliezen);
• de voorgestelde en genomen maatregelen om de inbreuk te verhelpen of de nadelige gevolgen ervan te beperken (bv. het op afstand wipen van smartphone).

Vul daarna het online formulier in dat u hier kunt downloaden: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen

Upload het ingevulde formulier hier: https://eforms.gegevensbeschermingsautoriteit.be/privacy-commission/home/public/upload?language=nl

De verantwoordelijke gegevensverwerking moet het datalek binnen de 72 u na kennisname melden aan de Gegevensbeschermingsautoriteit. Zie verder voor meer info rond de termijn.

Dankzij de melding kan de Gegevensbeschermingsautoriteit samen met de verantwoordelijke voor de verwerking van de gelekte gegevens de impact van het gegevenslek inschatten, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

Hoe meld ik een datalek aan betrokkenen?

Contacteer alle betrokkenen die door het datalek geschaad kunnen worden. De DPO is het best in staat om te bepalen wat de meest geschikte communicatiedrager is.

Houd er rekening mee dat je misschien niet beschikt over de noodzakelijke gegevens van alle betrokkenen, of dat de betrokkenen niet altijd via gangbare communicatiemiddelen bereikbaar zijn. Als je bv. geen e-mailadres of telefoonnummer hebt van de betrokkenen, of je weet dat er betrokkenen zijn die je helemaal niet kunt bereiken, dan kun je overwegen om een persbericht te verspreiden, of om een publicatie op je openbare website te plaatsen.

Meld zowel de aard van de inbreuk als aanbevelingen over hoe de betrokkene mogelijke negatieve gevolgen kan beperken (artikel 34 AVG). Een mogelijke aanbeveling is het wijzigen van een wachtwoord.

Meld een datalek ‘onverwijld’ (lees onmiddellijk) aan alle betrokkenen. Zie verder voor meer info over de termijn.

Wat als je als verwerkingsverantwoordelijke werkt met een of meerdere verwerkers, en een van de verwerkers ontdekt een datalek?

In dat geval moet de verwerker het datalek ‘zonder onredelijke vertraging’ (lees: zo snel mogelijk) aan de verwerkingsverantwoordelijke melden (zie verder voor meer info). Bovendien moet de verwerker de verwerkingsverantwoordelijk zo goed mogelijk bijstaan wanneer deze het lek documenteert in zijn datalekregister. De termijn voor datalekmelding begint te lopen na kennisname van het lek door de verwerkingsverantwoordelijke, dus vanaf dat de verwerker het lek aan de verwerkingsverantwoordelijke heeft gemeld.

Het is een ‘good practice’ om in de verwerkersovereenkomst te bepalen wat de verwerker moet doen ingeval van een datalek: welke gegevens hij moet doorgeven aan de verwerkingsverantwoordelijke en binnen welke termijn na kennisname (door de verwerker!) dit moet gebeuren.

Hoe snel moet de melding van het datalek gebeuren?

Het is belangrijk om op dit punt het onderscheid te maken tussen 3 soorten meldingen:

• melding aan de Gegevensbeschermingsautoriteit;
• melding aan de betrokkene;
• melding verwerker aan verwerkingsverantwoordelijke.

Een kernbegrip hier is ‘kennisname’. De termijn voor de melding van het datalek begint te lopen vanaf het moment van ‘kennisname’, nl. van zodra iemand binnen de organisatie van de verwerkingsverantwoordelijke kennisneemt van het lek. Dat moment van ‘kennisname’ is niet altijd duidelijk. Hacking is bv. een klare zaak: van zodra je weet dat er gehackt is, kun je spreken over het moment van kennisname. Maar als een burger/klant je erop wijst dat er persoonsgegevens op straat liggen en je moet dit eerst verifiëren, dan is er nog geen sprake van kennisname (je hebt het lek nog niet waargenomen). Pas vanaf de constatatie dat er effectief persoonsgegevens zijn gelekt, gaat het moment in. Een dergelijk onderzoek om een datalek te bevestigen mag je niet uitstellen. Dit moet zo snel mogelijk gebeuren.

Gegevensbeschermingsautoriteit: meld het datalek binnen de 72u na het moment van kennisname. Voor wat betreft het aantal uur spreken we hier niet over werkdagen maar kalenderdagen.

Betrokkene: meld het datalek ‘onverwijld’, d.w.z. onmiddellijk of heel snel.

Verwerker: meld het datalek ‘zonder onredelijke vertraging’, d.w.z. zo snel mogelijk.

Niet gelukt om het lek binnen de vooropgestelde termijn te melden? Geen paniek, dit kan voorvallen, zeker wanneer een onderzoek naar de echtheid van het datalek uitloopt. Zorg ervoor dat je de vertraging van de melding kunt motiveren t.a.v. de Gegevensbeschermingsautoriteit.

Wat is de Gegevensbeschermingsautoriteit en hoe verschilt die organisatie van de Privacycommissie?

De Gegevensbeschermingsautoriteit (hierna GBA genoemd) werd door de wet van 3 december 2017 tot oprichting van de Gegevenbeschermingsautoriteit in het leven geroepen. Die wet trad in werking op 25 mei 2018, net als de Algemene Verordening Gegevensbescherming (ofwel GDPR), waardoor de GBA officieel de plaats innam van de Privacycommissie. Het doel van de GBA, zoals ook op de website https://www.gegevensbeschermingsautoriteit.be/ te lezen valt, is ervoor te zorgen dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat de privacy van betrokkenen ook in de toekomst gewaarborgd blijft.

Waar de Privacycommissie slechts een adviesbevoegdheid had, beschikt de GBA ook over een controlebevoegdheid, een bevoegdheid om geschillen te beslechten en sancties op te leggen. Die extra bevoegdheden spelen in op de bescherming van de persoonsgegevens: indien wordt vastgesteld dat deze niet worden gerespecteerd, dan is de GBA bevoegd om boetes op te leggen of zelfs rechtsvorderingen in te stellen.

Moet ik wakker liggen van de boetes die onder de AVG kunnen uitgeschreven worden?

Ja en nee. In theorie zijn volgende boetes mogelijk onder de AVG:

• een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
• een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
• een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
• een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

In de praktijk zijn er in België nog geen boetes uitgeschreven en is er nog geen duidelijkheid over hoe dat zal gebeuren. Ook is er al gezegd dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen worden gegeven. Als we echter kijken naar onze buurlanden, zien we dat er wel al effectief boetes zijn opgelegd: https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/. Beter voorkomen dan genezen is de boodschap. Zorg ervoor dat uw persoonsgegevensbescherming op punt staat tegen dat de boeteprocedure in België volledig is uitgewerkt.

Hoe kan ik me voorbereiden op het melden van een datalek?

Zorg voor een degelijke procedure voor de melding van datalekken. Je hebt immers maar 72 uur om het datalek te melden aan de Gegevensbeschermingsautoriteit (en minder tijd voor betrokkenen, want zij moeten ‘onverwijld’ op de hoogte worden gebracht!).

Enkele vragen om mee te nemen in dit proces:

• Als je geen DPO hebt (of deze is op vakantie), wie is dan de verantwoordelijke voor de melding van het datalek?
• Wie wordt intern en/of extern op de hoogte gebracht (en via welk escalatiepad) van het datalek?
• Hebben we van onze leveranciers contactnummers ingeval van noodsituaties?
• Welke risicoimpact is er mogelijk en hoe zal deze worden ingeschat?
• Ben je vertrouwd met de melding van datalekken via de website van de Gegevensbeschermingsautoriteit? Lees er meer over op: https://www.gegevensbeschermingsautoriteit.be/melding-gegevenslekken-algemeen
• Zorg bij een datalek dat jij en je collega’s zoveel mogelijk documenteren. Je digitale sporen proberen uit te wissen heeft weinig zin. Werk liever productief mee aan het oplossen van het lek.
• Indien de rechten en plichten van betrokkenen een ernstig risico lopen, denk er dan aan hen ‘onverwijld’ op de hoogte te brengen van het lek. Langs welk kanaal ga je je gebruikers/klanten contacteren? Wat met klanten waarvan je geen contactgegevens hebt? Of wanneer je website plat ligt? Ga je het lek dan bv. via een persbericht de wereld insturen?

Hoe voorkom ik toekomstige datalekken?

Houd al je datalekken intern bij in een datalekregister. Dit kan een digitaal bestand zijn, maar bv. ook online formulieren. De vorm is van ondergeschikt belang; wat wel belangrijk is, is dat je zoveel mogelijk informatie rond het datalek verzamelt in dit register.

Vermeld in dit register de volgende gegevens van het datalek: de datum van constatering, een beschrijving van de inbreuk, de (mogelijke) gevolgen, de getroffen maatregelen, of het datalek al dan niet gemeld is aan de Gegevensbeschermingsautoriteit en betrokkenen, en indien er sprake is van melding aan betrokkenen, wat de boodschap was die is uitgestuurd.

Het grote voordeel van zo’n register is dat je heel snel kunt refereren naar vorige datalekken en de manier waarop ze destijds zijn opgelost of aangepakt.

Is dit alles wel de moeite? Zoveel datalekken zijn er toch niet?

Toch wel. Datalekken zijn schering en inslag, en wat we in de media zien verschijnen is slechts het topje van de ijsberg. Recente voorbeelden zijn:

• Reddit: https://thehackernews.com/2018/08/hack-reddit-account.html
• Ticketmaster: http://datanews.knack.be/ict/nieuws/klantgegevens-van-ticketmaster-mogelijk-gestolen/article-normal-1167211.html
• Orange: https://www.vrt.be/vrtnws/nl/2018/06/15/datalek-bij-orange-15-000-klanten-getroffen/
• AZ Turnhout: https://www.despecialist.eu/nl/nieuws/beroepsnieuws/az-turnhout-gechanteerd-via-gestolen-patientengegevens.html

Uiteraard is er ook het Facebook / Cambridge Analytics schandaal geweest (zie http://www.standaard.be/cnt/dmf20180405_03447080). Zelfs de Nederlandse Data Protection Authority, nl. de Autoriteit Persoonsgegevens, heeft per ongeluk persoonsgegevens openbaar gemaakt: https://www.nu.nl/internet/5179583/autoriteit-persoonsgegevens-lekte-per-ongeluk-namen-van-personeel.html. Heel veel datalekken blijven echter onder de radar van de media.

Vaak maken bedrijven hun datalekken niet bekend, omdat ze vrezen dat het hun reputatie zal beschadigen. Hoewel een datalek negatieve publiciteit met zich meebrengt, kun je het counteren door het lek snel en in duidelijke bewoordingen bekend te maken en gepaste maatregelen te treffen. Dit toont de daadkracht van uw organisatie aan. Zie een datalek dan ook als een opportuniteit, niet als een bedreiging. Tot slot nog een interessante melding van een datalek door een grote speler op de ticketingmarkt: Ticketmaster. https://security.ticketmaster.co.uk/

Hoe kan V-ICT-OR mij hierin bijstaan?

De informatieveiligheidstool van V-ICT-OR krijgt er binnenkort de mogelijkheid bij om datalekken te registreren binnen een datalekregister. De tool zal ook de mogelijkheid krijgen om datalekken te melden aan de Gegevensbeschermingsautoriteit en de betrokkenen.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Verslag infosessie verwerkersovereenkomsten 09-08

10/08/2018     Informatieveiligheid en Security     Louis Descheemaecker

De infosessie verwerkersovereenkomsten van 9 augustus was een klinkend succes. Met zo'n 55 deelnemers konden we rekenen op een grote hoeveelheid input van de lokale besturen. Alle vragen, van eenvoudig tot complex, werden door de advocate Yung Shin uitvoerig behandeld. Dit verslag geeft in grote lijnen de inhoud weer van de infosessie.

Kurt Penninck: tool informatieveiligheid V-ICT-OR

Kurt Penninck, beleidsmedewerker voor stad/OCMW Blankenberge en kennismedewerker van V-ICT-OR, kwam spreken over de informatieveiligheidstool. Die krijgt namelijk een gloednieuwe functionaliteit verwerkersovereenkomsten die u de mogelijkheid biedt een overzicht van alle opgemaakte verwerkersovereenkomsten te bekomen en nieuwe verwerkersovereenkomsten op te stellen. Voor dit laatste aspect maakt u gebruik van de ‘generieke verwerkersovereenkomst’ van V-ICT-OR (origineel en juridisch correct, want gecontroleerd door advocatenkantoor time.lex) of uploadt u zelf een sjabloon verwerkersovereenkomst (bv. met huisstijl lokaal bestuur). Voor de generieke verwerkersovereenkomst heeft V-ICT-OR zich deels gebaseerd op een Nederlandse generieke verwerkersovereenkomst die niet vanuit juridisch maar wel vanuit pragmatisch oogpunt is opgesteld, wat dan weer zorgt voor een quasi onmiddellijke praktische inzetbaarheid.

Yung Shin: vraag-antwoordmoment

Yung Shin is advocate bij het niche advocatenkantoor time.lex dat gespecialiseerd is in gegevensbescherming, privacy, intellectuele eigendomsrecht, ICT-overeenkomsten, enz. Op vraag van V-ICT-OR kwam zij uitleg geven over de privacywetgeving en vragen beantwoorden rond verwerkersovereenkomsten. In wat volgt vindt u de vragen uit het publiek en de antwoorden die Yung Shin ons gaf (samengevat weliswaar). Uiteraard is de werking van ieder lokaal bestuur iets anders, maar de antwoorden kunnen u alvast een leidraad geven om verder aan de slag te gaan rond verwerkersovereenkomsten in uw bestuur.

Deelnemers interactief vraag-antwoordmoment: Yung Shin Van Der Sype, Hendrik van Haele, Kurt Penninck, Eddy Van Der Stock, mensen uit lokale besturen.

Vraag: Is het wel nodig om een verwerkersovereenkomst als apart document op te stellen? Kunnen we dit niet opvangen aan de hand van een simpel zinnetje in de NDA (vertrouwelijkheidsovereenkomst)?

Yung Shin: Ik zou toch een kleine verwerkersovereenkomst opstellen, maar dit hoeft slechts een pagina lang te zijn.

Vraag: Veel punten die in een normale verwerkersovereenkomst staan zijn bij ons niet van tel. Is het dan wel de moeite om een volledige verwerkersovereenkomst op te stellen?

Yung Shin: Dat raad ik toch aan. Het weglaten van bepaalde onderdelen van de verwerkersovereenkomst kan problematisch zijn. Zo heb ik bij de drukker mijn thesis (dat persoonsgegevens bevatte) qua vorm iets anders samengesteld dan mijn medestudenten. De drukker heeft mijn thesis vervolgens online gezet en heeft het dus voor een totaal ander doel ingezet dan oorspronkelijk bedoeld was. Achteraf gezien had ik beter mijn recht van verzet of recht op verwijdering toegepast t.a.v. de verwerking.

Vraag: Op den duur moet je overeenkomst sluiten met broodjeszaken. Je geeft immers namen door van de personen die bestellingen plaatsen. Dit komt ook neer op persoonsgegevens… hoe dek je jezelf in m.b.t. de AVG?

Yung Shin: Leg de lijst met namen en type broodje op een niet zichtbare plaats. De mensen van het onthaal moeten in principe de broodjes per persoon gaan uitdelen. Zorg dat je altijd als bedrijf iets op papier hebt t.a.v. het bedrijf dat je persoonsgegevens verwerkt (in dit geval de broodjeszaak).

Vraag: Wij stellen open data ter beschikking. Externen gaan gebruikmaken van onze data. Soms trekken zij daar conclusies uit waar wij niet achter staan. Hoe kunnen we deze praktijk een halt toeroepen?

Yung Shin: Zorg ervoor dat dit in jullie algemene voorwaarden wordt opgenomen. De AVG is hier niet noodzakelijk van toepassing. Jullie stellen waarschijnlijk gegevens ter beschikking op een platform waar algemene voorwaarden aan gekoppeld is. Pas die voorwaarden aan voor zover nodig. Zo kunnen jullie je distantiëren wanneer er conclusies getrokken worden waar jullie niet achter staan.

Vraag: Onze personeelsdiensten krijgen momenteel veel contracten binnen van verzekeringsmaatschappijen, maaltijdchequebedrijven… Is er dan sprake van verschillende  verwerkingsverantwoordelijken? Of spreken we nog steeds over een relatie verwerkingsverantwoordelijke-verwerker? Meestal worden alleen naam en adres van werknemers doorgegeven.

Yung Shin: Hangt af van wat er moet gebeuren. In sommige situaties zal u inderdaad de relatie verwerkingsverantwoordelijke-verwerker kunnen hanteren, maar als het op verzekeringsmaatschappijen aankomt zal er een gedeelde verantwoordelijkheid zijn als verwerkingsverantwoordelijke. Bepaal voor elk geval apart wie verwerker is en wie verwerkingsverantwoordelijke (andere partij zal dat ook meedelen). Bv. Ethias zou kunnen zeggen dat u verantwoordelijk bent voor uw persoonsgegevens, totdat u ze aan hen doorgeeft en dan wordt Ethias een tweede verwerkingsverantwoordelijke.

Vraag: Ik heb al een contract zien voorbijkomen waar een lijst van beveiligingsmaatregelen in vervat zit. Het contract bevat tevens een zin die aangeeft dat de verwerkingsverantwoordelijke bij het tekenen van het contract ermee instemt dat de opgesomde maatregelen voldoende zijn. Hier heb ik mijn bedenkingen bij. Als er nieuwe bedreigingen komen, dan staan deze niet in de lijst vermeld.

Yung Shin: Zo’n type contract zou ik niet ondertekenen. U zou bijna moeten beroep doen op een audit om te zien of dit voldoende maatregelen zijn om een degelijke informatieveiligheid en persoonsgegevensbescherming te waarborgen. Dit is de eerste keer dat ik zoiets hoor; wat ik wel al heb gezien is dat de verwerker zegt waar de focus inzake informatieveiligheid zit of hoe hun planning eruitziet.

Kurt: Je zou ook simpelweg kunnen verwijzen naar de richtsnoeren informatieveiligheid. Die bestaan, laten we er dan ook gebruik van maken. De verwerker moet minimaal hetzelfde niveau van informatieveiligheid garanderen als dat van de verwerkingsverantwoordelijke. Specifiek voor de OCMW’s zou je kunnen verwijzen naar de minimale normen KSZ. In onze modelovereenkomst verwijzen we naar zowel de richtsnoeren als de minimale normen. Het heeft weinig zin om een selectie beveiligingsmaatregelen te beginnen maken, want binnen de kortste keren is dit achterhaald.

Eddy: Dat kan ik beamen. De richtsnoeren kunnen een leidraad vormen voor de technische en organisatorische maatregelen die moeten worden genomen door zowel de verwerkingsverantwoordelijke als de verwerker.

Vraag: We hebben veel problemen rond de subverwerkers. De verwerkers zeggen soms dat de verwerkingsverantwoordelijke zich niet kan verzetten tegen de aanstelling van een subverwerker door de verweker indien de subverwerker voldoet aan de voorwaarden. Klopt dit?

Yung Shin: Onder de Engelse AVG zou je hier in principe nog mee kunnen spelen, maar de Belgische wet lijkt wel strenger. Art. 28 AVG wijst erop dat de verwerkingsverantwoordelijke wel bezwaar moet kunnen maken tegen de aanstelling van een subverwerker.

Vraag: Mocht er toch zo’n overeenkomst getekend worden, staat de wet dan qua inhoud boven datgene wat er contractueel is bepaald?

Yung Shin: Dus de vraag is eigenlijk: kan er contractueel van de wet worden afgeweken? Nee, want de wet is dwingend. Je kunt wel in je contract aangeven dat je de bepalingen die volgens art. 28 AVG niet kunnen als onbestaande beschouwt.

Vraag: Sommige gaan heel ver in hun bepalingen. Een bepaalde verwerker zei “als wij een subverwerker aanduiden in een land waar er een overeenkomst mee is, dan kunt u zich niet verzetten”. Anderen zeggen “Wij zullen niet zeggen wie onze subverwerkers zijn”. Kan dat zomaar?

Yung Shin: Ik zou toch zeker pushen voor een lijst van profielen. Dus zelfs als men u niet de namen van de subverwerkers wil doorgeven, dan zou ik nagaan voor welke verwerkingen de subverwerkers worden ingeschakeld. Daar zullen de meeste bedrijven normaliter wel mee akkoord gaan. Vele grote spelers hebben tegenwoordig trouwens online een lijst staan van hun verwerkers.

Vraag: Het is toch moeilijk om bezwaar te maken als je geen bedrijfsnaam hebt om naar te refereren?

Yung Shin: Klopt, maar omdat er wettelijk gezien geen sprake is van de subverwerker in kwestie (omdat de verwerker u niet informeert of wilt informeren), kunt u ook geen bezwaar maken. Dit hoeft geen groot struikelblok te zijn. Als de verwerker u niet inlicht, en het blijkt dat de verwerker toch subverwerkers heeft aangesteld, dan heeft hij zijn overeenkomst niet nageleefd. Maar in de meeste gevallen zult u het nooit weten.

Vraag: Wij hebben dat probleem voorgehad. Er was doorgifte gebeurd van onze gegevens naar China, en in China heeft er zich een datalek voorgedaan. We hebben dat lek moeten doorgeven aan de Gegevensbeschermingsautoriteit omdat wij er verantwoordelijk voor waren.

Yung Shin: Als men de subverwerkers niet meedeelt, en er blijken achteraf problemen te zijn, dan geeft u het probleem gewoon aan bij de Gegevensbeschermingsautoriteit. Er is weinig meer dat u kunt doen hieraan.

Eddy: het is belangrijk dat deze clausule (lees: de clausule m.b.t. subverwerkers) wordt opgenomen. Er is ook zoiets als de communicatieplicht van de verwerker: als er iets wijzigt inzake de verwerking, dan moet dit gecommuniceerd worden, en wanneer er wijzigingen zijn waar de verwerkingsverantwoordelijke niet mee akkoord gaat, dan moet hij/zij daar bezwaar tegen kunnen indienen.

Vraag van Hendrik: Is de vermelding van de subverwerkers verplicht volgens de wet?

Yung Shin: Het is een losstaande paragraaf in de wet. Het krijgt dus meer waarde dan als het in een opsomming zou staan. De wet schrijft het voor en uw overeenkomst moet in lijn zijn met de wet.

Vraag: Als de lijst van verwerkers op een website is geplaatst, en de lijst wordt aangepast, mag dit dan worden gezien als ‘informeren’?

Yung Shin: Eigenlijk niet, dit is niet voldoende. Men moet u ook bijkomend informeren wanneer de lijst wijzigt, bv. via een mailtje.

Vraag: Is het niet verstandiger om die lijst op te nemen in het contract in de plaats van het online te zetten?

Yung Shin: Op zich is het geen probleem dat deze lijst online staat. Wat u kunt doen is de huidige versie van de lijst opnemen in het contract, en vervolgens informeren wanneer er wijzigingen zijn aan die lijst.

Vraag: Wat impliceert het recht op verzet tegen de verwerking (en dan specifiek m.b.t. subverwerkers)? Betekent dit bv. een annulering van de overeenkomst?

Yung Shin: In onze vaste template van time.lex voorzien we 3 alternatieve scenario’s hiervoor.

• Alternatief A: De leverancier zal geen persoonsgegevens van de klant doorgeven aan de subverwerker.
• Alternatief B: De leverancier mag geen persoonsgegevens delen met de subverwerker tot er redelijke stappen zijn ondernomen om aan de bezwaren van de klant tegemoet te komen (waarom is de subverwerker wel een goede optie?) en de klant schriftelijk en met redelijke uitleg van de genomen stappen is geïnformeerd.
• Alternatief C: De leverancier werkt te goeder trouw samen met de klant om een commercieel redelijke wijziging in de dienstverlening te bewerkstelligen die het gebruik van de voorgestelde subverwerker vermijdt. Indien een dergelijke wijziging niet kan worden doorgevoerd binnen x dagen na ontvangst door leverancier van de kennisgeving door klant, niettegenstaande enige bepaling in de overeenkomst, kan de klant middels schriftelijke kennisgeving, met onmiddellijke ingang en zonder rechterlijke tussenkomst de overeenkomst beëindigen.

Stap C gaat al heel ver, dit zal in de meeste gevallen niet kunnen afgedwongen worden of u moet al een sterke onderhandelingspositie hebben.

Vraag: De verwerker moet volgens de AVG ‘without undue delay’ (dus: zonder onredelijke vertraging) de verwerkingsverantwoordelijke op de hoogte stellen van een privacy-inbreuk. Hoe mag ik die termijn opvatten?

Yung Shin: Het is belangrijk dat die termijn zo kort mogelijk is. Hoe langer de melding van het datalek aan de verwerkingsverantwoordelijke uitblijft, des te groter de kans dat dit uitlekt naar het grote publiek. De ‘kennisname’ van het datalek door de verwerkingsverantwoordelijke (dus het tijdstip vanaf wanneer de verantwoordelijke het lek moet melden aan de Gegevensbeschermingsautoriteit en, indien nodig, aan de betrokkenen) komt in principe overeen met het tijdstip van de officiële melding door de verwerker. Vanaf dan heeft de verwerkingsverantwoordelijke 72 u de tijd om het lek te melden aan de Gegevensbeschermingsautoriteit. De melding aan de betrokkene moet sneller plaatsvinden (‘onverwijld’). Het vermoeden van de verwerkingsverantwoordelijke dat er een datalek heeft plaatsgevonden is niet voldoende om te kunnen spreken over ‘kennisname’. In uitzonderlijke gevallen komt de verwerkingsverantwoordelijke via andere kanalen het datalek te weten, bv. door een openbare publicatie van het datalek buiten de verwerker om. In dat geval mag u ook spreken van een kennisname en begint uw tijd te lopen voor de melding van het lek. Let op: de tijd die het kost voor de verwerker om het datalek aan u als verwerkingsverantwoordelijke te melden wordt in principe niet afgetrokken van de 72 u (kalenderdagen, niet werkdagen) die u heeft om de Gegevensbeschermingsautoriteit in te lichten. Conclusie: laat als verwerker het datalek niet liggen. Verwerkingsverantwoordelijken: stel bij een vermoeden van datalek zo snel mogelijk een onderzoek in om te verifiëren of het datalek effectief bestaat.

Vraag: De caps (kosten bij overtreding contractuele voorwaarden) die in de verwerkersovereenkomst zijn opgenomen zijn in strijd met art. 82 AVG waar de aansprakelijkheid van de verwerker wordt omschreven. Het gaat daar over elke vorm van materiële en immateriële schade.

Yung Shin: De caps zijn effectief van toepassing wanneer er een niet-naleving is van het contract. Die caps kunnen zowel concreet als algemeen worden omschreven in de overeenkomst. Natuurlijk: hoe concreter, hoe praktischer inzetbaar de clausule.

Vraag Hendrik: Audits vinden doorgaans plaats tijdens de normale kantooruren. Zijn er uitzonderingen voorzien wanneer we spreken over datalekken? Deze moeten immers zo snel mogelijk gemeld worden.

Yung Shin: Klopt, de auditwetgeving voorziet een uitzondering: “Audits en inspecties vinden plaats tijdens de normale kantooruren (…), tenzij dit op spoedeisende basis dient te geschieden.” U mag een datalek beschouwen als een geldige voorbeeld van ‘spoedeisende basis’. In de verwerkersovereenkomst kunt u ook bepalen hoe vaak per jaar er een audit plaatsvindt.

(25:06 filmpje 0002): Vraag: De relatie tussen verwerkingsverantwoordelijke, verwerker en subverwerker is mij niet helemaal duidelijk. Hoe is de relatie tussen verwerkingsverantwoordelijke en subverwerker? Wordt de verwerker verwerkingsverantwoordelijke voor de subverwerker?

Yung Shin: Nee. In feite moet je het zien als 2 verhoudingen: je hebt de verhouding verwerkingsverantwoordelijke-verwerker en de verhouding verwerker-subverwerker. Het tweede lid van elke verhouding is telkens verantwoording verschuldigd aan het eerste lid.

Eddy: In feite is er geen relatie tussen de verwerkingsverantwoordelijke en de subverwerker. Zoals Yung Shin aangaf spreken we over 2 relaties die telkens steunen op contracten, nl. die tussen de verwerkingsverantwoordelijke en de verwerker enerzijds en die tussen de verwerker en subverwerker anderzijds.

Yung Shin: De verwerkingsverantwoordelijke blijft de eindverantwoordelijke voor de verwerking. De verwerker is verantwoordelijk voor de werking van de subverwerker. Deze laatste moet bij een foutieve uitvoering van de opdracht verantwoording afleggen aan de verwerker.

Eddy: Communicatie is hier ook heel belangrijk. Als de verwerker nieuwe subverwerkers aanspreekt, of oude subverwerkers vallen weg, dan moet de verwerker hier duidelijk over communiceren naar de verwerkingsverantwoordelijke toe.

Vraag: Wat is de relatie binnen de tool tussen het verwerkingsregister en de verwerkersovereenkomst? Stel: ik heb in mijn verwerkingsregister een verwerker CEVI en ik klik erop, kom ik dan uit bij de verwerkersovereenkomsten die zijn afgesloten met deze verwerker? Of als ik bijkomende subverwerkers meld in het verwerkingsregister, wordt mijn verwerkersovereenkomst dan automatisch aangepast? 

Kurt: Automatisch zal het niet zijn. Je zult een nieuwe versie moeten uploaden van de verwerkersovereenkomst. Het register wil vooral een overzicht houden van alle verwerkersovereenkomsten. U heeft de verantwoordelijkheid als gebruiker om dit goed te beheren en alles goed bij te houden. Wat u kunt doen is bv. de oude versie wissen en de nieuwe versie uploaden.

Eddy: Er is weinig automatisme in te voorzien. We hebben het immers over wijzigingen van ondertekende contracten. Die moeten opnieuw ingescand en geüpload worden. We zijn wel bezig met de implementatie van een register verwerkingsactiviteiten in de tool. Dit zal gekoppeld zijn met de Oplossingencatalogus van V-ICT-OR (de vroegere Softwarecatalogus). Dit register verwerkingsactiviteiten kan een nuttige functionaliteit zijn voor de controle van verwerkersovereenkomsten: is er aan elke activiteit wel degelijk een verwerkersovereenkomst gekoppeld?

Vraag: Als je niet uit de onderhandelingen geraakt van een overeenkomst, is dit een probleem? Wie is dan verantwoordelijk? De leverancier voor het contract in kwestie heeft wel gereageerd, maar stuurde een verwerkersovereenkomst waar wij veel bedenkingen bij hebben en niet op ingegaan zijn.

Yung Shin: Ja, dit is problematisch. De verwerkingsverantwoordelijke is verantwoordelijk voor het laten opstellen van de overeenkomst. De verwerkingsvoorwaarden moet ook wel redelijk zijn. Zolang het contract niet ondertekend is, is het niet geldend voor de verwerker. Je kunt met andere woorden niet zomaar een mailtje sturen en daarin zeggen dat als de tegenpartij niet reageert of ondertekent de voorwaarden toch op hem toepasbaar worden.

Vraag: Wat met gegevensuitwisselingen tussen overheden? Bv. Rijksregister of KSZ?

Antwoord uit publiek: Hier gaat het over protocollen of beraadslagingen van het informatieveiligheidscomité. Gaat puur over doorgifte, dus er is in die gevallen geen verwerkersovereenkomst vereist.

Vraag: Mogen wij eisen dat de verwerkersovereenkomst in het Nederlands is?

Yung Shin: De normale taalregels zijn van toepassing (taalwetgeving).

Eddy: De taalwetgeving is hier van toepassing.

Vraag: Moet het verwerkingsregister in een landstaal zijn?

Yung Shin: Nee, hoeft niet. Bij opvraging van het verwerkingsregister door de Gegevensbeschermingsautoriteit moet u ingeval van een niet-landstaal wel zorgen voor een vertaling (voor België wordt dat dus Nederlands, Frans of Duits).

Vraag: Moet de verwerkingsovereenkomst in het Nederlands zijn? Kunnen we dit afdwingen?

Eddy: Je mag redeneren dat je de verwerkingsovereenkomst in duidelijke, begrijpbare taal moet beschreven zijn. Je zou onder de taalwetgeving kunnen afdwingen dat je de overeenkomst ontvangt in een van de landstalen. Als Vlaams bestuur kunt u dus een Nederlandstalige verwerkersovereenkomst afdwingen.

Vraag: We hebben een pak verwerkersovereenkomsten die we niet willen ondertekenen tot er duidelijkheid heerst over de praktijk van de verwerkersovereenkomsten. Moet ik er wakker van liggen dat die stapel blijft liggen?

Eddy: Een verwerkersovereenkomst is eigenlijk een contract. Hoe gaan we samen afspraken maken rond de verwerking van persoonsgegevens? Ik durf niet met zekerheid zeggen dat alle softwarepakketten vandaag de dag een onderhoudscontract hebben. Nochtans is dit een zeer belangrijk aspect en iets van de eerste dingen die leveranciers zouden moeten doorsturen, laten ondertekenen en goed bewaren. Zolang er niets gebeurt, zolang je geen beroep moet doen op dat contract is er niets aan de hand. Het contract vormt natuurlijk een verzekering voor wanneer het fout loopt. Idem voor de verwerkersovereenkomsten: als er iets misloopt m.b.t. de verwerking wil je een document hebben waar je op kunt terugvallen.

Yung Shin: In veel gevallen is een contract een want-to-have, iets wat wenselijk is. Zoals Eddy zegt: iets om op terug te kunnen vallen. In dit geval – de verwerkersovereenkomst – is het verplicht. Dit punt is essentieel, want het betekent dat je in elk geval zo’n overeenkomst moet kunnen voorleggen. Ik raad aan om niet te lang te wachten met het behandelen van die stapel verwerkersovereenkomsten, het zal wellicht alleen maar groeien…

Vraag: Waarom is er niet geopteerd om het model verwerkersovereenkomst van de VVSG als basis te gebruiken? De VVSG zei “zet verwerkingsovereenkomsten nog even on hold, we willen een model voor alle lokale besturen naar buiten brengen”. Waarom is dat dan niet als eerste model gebruikt?

Eddy: We zullen zien wat er voortvloeit uit de werking van de VVSG. De finale verwerkersovereenkomst die daaruit voortkomt kunnen we dan alsnog in de tool opnemen. Onze medewerker Kurt Penninck die hier vandaag ook aanwezig is zit trouwens in de werkgroep VVSG. De tool kan 2, 3 of meer sjablonen verwerkersovereenkomst bevatten, waarom niet? Laat alle bloemen maar bloeien. Misschien hebben de sjablonen dan wel een verschillende insteek. Dan is het aan het lokaal bestuur om uit te maken welke overeenkomst het meest aansluit bij hun werking en visie. Een ‘perfect generieke’ verwerkersovereenkomst bestaat niet, alleen een praktisch voorbeeld om als vertrekpunt te nemen. Hier kunnen meerdere voorbeelden voor ingezet worden.

Kurt: Ik zit inderdaad in de werkgroep en ben als dusdanig op de hoogte van de nieuwste ontwikkelingen binnen de VVSG. We kregen echter vanuit verschillende richtingen (opleiding, Yammer, mails) te horen dat er nood is aan meer duidelijkheid rond verwerkersovereenkomsten en dus wilden we bij V-ICT-OR niet bij de pakken blijven zitten. Het lokaal bestuur moet met zijn inzicht beslissen welk sjabloon verwerkersovereenkomst het best kan ingezet worden.

Eddy: Voor onze generieke verwerkersovereenkomst kunnen we zeggen dat het niet uit de invalshoek van IT-dienstverleners is geschreven. Deze is vertrokken vanuit de pragmatiek en een juridisch kader (controle door time.lex). Laat er verschillende sjablonen bestaan. Voor mij is generiek bij nader inzien toch niet zo generiek. Het is niet de bedoeling om op een model verwerkingsovereenkomst ons label te plakken (net zomin als dat voor de VVSG het doel is). Het einddoel moet zijn om de mensen in te lichten hoe een verwerkingsovereenkomst er moet uitzien. Niet welke overeenkomst de grootste is, de meest correcte. Meerdere verwerkersovereenkomsten kan alleen maar iets positiefs zijn voor lokale besturen, iets verrijkends.

Vraag: Wat als een grote speler zoals CEVI of Remmicom mij als klein lokaal bestuur praktisch dwingt om een verwerkersovereenkomst te tekenen en weinig rekening houdt met mijn eisen?

Eddy: Dan ligt zijn dossier terug op de markt. Zelfs als de tegenspeler een belangrijke onderhandelingspositie heeft, dan nog moet het het lokaal bestuur zijn dat bepaalt hoe een contract eruitziet, welke beveiligingsmaatregelen er worden getroffen. Een lokaal bestuur mag geen speelbal worden in de handen van een machtige leverancier. Ik hoop dat de lokale besturen hier karakter tonen en op hun strepen staan. Wees niet bang om aan te dringen bij de leverancier en durf, als het dossier te lang blijft aanslepen en de leverancier weigert met je aanpassingen akkoord te gaan, conclusies trekken rond een eventuele samenwerking.

Vraag: Ik denk toch wel dat we moeten wachten op de feedback van de VVSG. Zij zijn tenslotte al lang bezig met het opstellen van het model verwerkersovereenkomst. Wat is jullie visie hierop?

Eddy: Iedereen moet doen waar hij zelf achter staat. Wij bieden alvast een mogelijk ankerpunt aan voor mensen die willen starten met de verwerkersovereenkomsten.

Hendrik: Via de Oplossingencatalogus is het mogelijk leveranciers een waardering te geven. Zo wordt het duidelijk met welke leveranciers er goede afspraken kunnen gemaakt worden.

Eddy: Daar is inderdaad een scoremogelijkheid. Bedoeling is dat lokale besturen op die manier samenwerken en meningen delen rond leveranciers. Natuurlijk is het dan in het belang van de leverancier dat deze zorgt voor goede afspraken, goede waarderingen, enz.

Vraag: We zien dat leveranciers eerst kleine gemeentes onder druk zetten om hun verwerkersovereenkomsten te ondertekenen en dan vervolgens naar grotere lokale besturen stappen met de lijst van gemeentes die reeds zijn aangesloten. Kleine besturen worden onder druk gezet met uitspraken als “als je niet tegen de 25^ste tekent, dan werken we niet meer samen”.

Eddy: Daarom dan ook dat we infodagen als vandaag neerzetten: om collectief druk uit te oefenen op de leveranciers en als gemeentes – klein of groot – samen te werken aan betere voorwaarden. Zo kunnen we assertiviteit kweken, voorbeelden delen met elkaar en uiteraard collectief het gesprek aangaan met de leveranciers.

Vraag: Praktische vraag i.v.m. de tool: we willen een zekere assurance bieden m.b.t. bepaalde normen zoals ISO-norm 27k, ISO-norm 32… Kan dit binnen de tool als addendum aan een verwerkersovereenkomst worden gehecht?

Kurt: Je kunt bij het inscannen van de ondertekende verwerkersovereenkomst het addendum er gewoon achter steken. Zo heb je in één file alle documentatie, verwerkersovereenkomst en bijlagen. We kunnen natuurlijk ook kijken om in de tool de mogelijkheid te verwerken om bijlagen te voorzien voor de verwerkersovereenkomst, indien daar een algemene nood voor is. Je kunt de tool zien als een content management system voor de verwerkersovereenkomsten. De tool kan nog alle kanten uit in de toekomst.

Tot slot

Half september verschijnt er een boekje ‘Gegevensbescherming voor leidinggevenden’, waarin V-ICT-OR zijn visie omtrent informatieveiligheid en GDPR toelicht. Het moet een leidraad worden voor bestuurders om rond informatieveiligheid en persoonsgegevensbescherming aan de slag te gaan.

De generieke verwerkersovereenkomst van V-ICT-OR zal door juristen onder handen worden genomen om er een juridisch correcte versie van te maken. Deze verwerkersovereenkomst zal ook in de loop van september worden verspreid.

We kijken ook uit naar de finale versie van de verwerkersovereenkomst van de VVSG. We staan open voor gesprekken en streven continu naar een vruchtbare samenwerking.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 8: stel verwerkersovereenkomsten op.

08/08/2018     Informatieveiligheid     Louis Descheemaecker

We hebben het reeds gehad over het verwerkingsregister, waarin alle verwerkingsverantwoordelijken en verwerkers opgesomd zijn. Maar hoe maak je nu als verwerkingsverantwoordelijke concrete afspraken met de verwerker? Hoe zorg je ervoor dat je allebei op dezelfde golflengte zit, en dat dit formeel wordt gedocumenteerd? Het antwoord: de verwerkingsovereenkomst.

Voor we hier dieper op ingaan even kort herhalen wat een verwerkingsverantwoordelijke en een verwerker is. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Je kunt ook spreken over de ‘verantwoordelijke’. De verwerker is degene die ten behoeve van de verantwoordelijke bepaalde persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

We hebben intussen al gezien dat je in je verwerkingsregister moet bepalen of je verwerkingsactiviteiten al dan niet uit handen geeft. Dit is belangrijk, aangezien je in dat geval persoonsgegevens doorgeeft aan een derde. In voorkomend geval moet je een bijkomend document opstellen, namelijk de verwerkersovereenkomst. In deze overeenkomst leg je de opdracht vast, bepaal je de grenzen ervan, definieer je de duur en het doel van de verwerking, specificeer je om welk soort persoonsgegevens het gaat, leg je de beveiligingsmaatregelen vast, bepaal je wat er gebeurt bij overtreding door de verwerker, enz.

Wat moet er in verwerkingsovereenkomst worden vastgelegd?

In wat volgt staan per onderdeel de gegevens opgelijst die doorgaans in een verwerkingsovereenkomst worden opgesomd.

Algemene zaken

Art. 28 AVG stipuleert dat volgende onderwerpen moeten aan bod komen:

• onderwerp en duur van de verwerking;
• aard en doel van de verwerking;
• soort persoonsgegevens;
• rechten en verplichtingen van de verwerkingsverantwoordelijke;
• de categorieën en verwerking van de betrokkenen.

Verwerking in overeenstemming met instructies verantwoordelijke

De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.

Geheimhouding

In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.

Beveiligingsmaatregelen

De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens - in overeenstemming met het risico van de verwerking - te beveiligen tegen verlies e.d. Zie ook stap 7 (passende beveiliging) van deze reeks nieuwsberichten.

Inschakelen van derden en onderaannemers

In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Locatie van de data

De verantwoordelijke moet weten in welke landen zijn data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.

Audits

De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.

Aansprakelijkheid

De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.

Wat zijn enkele concrete voorbeelden van verwerkers?

Voorbeelden zijn: een salarisadministratiekantoor dat voor een bedrijf de salarisadministratie afhandelt, het sociaal secretariaat, een screening agency in het kader van rekrutering en selectie, een archiveringsdienst voor e-filing, een cloud service provider voor de opslag van gegevens, een bewakingsfirma, een verzekeringsmaatschappij, een externe IT-dienstverlener, etc.

Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst?

Niets. Sinds de invoering van de GDPR/AVG spreken we niet meer van ‘bewerkers’ maar van ‘verwerkers’. Dit komt dus op hetzelfde neer.

Wat is het verschil tussen een verwerkersovereenkomst en een Data Procession Agreement?

Niets. Dit is de Engelse benaming van de verwerkersovereenkomst.

Wat als de verwerker mij als verwerkingsverantwoordelijke een verwerkersovereenkomst bezorgt en niet andersom?

Tegenwoordig gebeurt dit wel vaker. Het grote nadeel in dit geval is dat je als verwerkingsverantwoordelijke het hele document goed moet overlopen om te zien of je met alles akkoord gaat. De verwerker doet in vele gevallen beroep op een juridisch medewerker die de verwerker in de overeenkomst optimaal zal indekken. Het is veilig om ervanuit te gaan dat, wanneer de verwerker jou als verwerkingsverantwoordelijke een verwerkersovereenkomst stuurt, je waarschijnlijk niet akkoord mag gaan met de eerste versie. Beslis vooraf voor jezelf wat er in de overeenkomst moet staan (bv. veiligheidsmaatregelen, boetes bij misbruik persoonsgegevens door derde…). Maak hier eventueel een checklist van. Toets deze aan de verwerkersovereenkomst die jou is toegestuurd. Indien er aanzienlijke verschillen bestaan, pas dan de overeenkomst aan (wijzigingen in een kleurtje of met track changes bijgehouden bv., zodat de andere partij snel erdoor kan gaan) en stuur het terug. Laat de overeenkomst heen en weer gaan tot jullie beiden tevreden zijn met de uitgeschreven voorwaarden.

Is het niet gewoon gemakkelijker als ik zelf de verwerkersovereenkomst opstel en doorstuur?

Ja! En dat is precies wat wij vanuit V-ICT-OR aanraden. Door zelf je overeenkomst op te stellen en uit te sturen naar een lijst derden heb je veel meer controle over de inhoud van de overeenkomst. Als de verwerker de overeenkomst terugstuurt met aanpassingen, zul je veel minder tijd verliezen met erdoor te gaan omdat je al weet wat erin staat.

Hoe kan V-ICT-OR mij helpen hierin?

Tijdens het 3-daags begeleidingstraject informatieveiligheid bezorgt V-ICT-OR u voorbeelden van verwerkersovereenkomsten. We kunnen helpen bepalen wie als verwerker moet worden aanzien en wie niet. We kunnen voorbeelden aanleveren van bepaalde formuleringen waar je naar op zoek bent. We kunnen meedenken over de essentiële punten die je in je verwerkersovereenkomst wil opnemen.

Ook een premiumabonnement geeft je de mogelijkheid om met V-ICT-OR te sparren rond alle aspecten van de verwerkersovereenkomst.

Op 09/08/18 volgt er trouwens een gratis infosessie verwerkersovereenkomsten in het VAC Gent. Daar wil V-ICT-OR duidelijkheid scheppen over enkele prangende vragen zoals:

• Wat als leveranciers mijn verwerkersovereenkomst niet willen tekenen?
• Wat zijn de valkuilen van verwerkersovereenkomsten?
• Hoe haal ik aansprakelijkheden aan in de overeenkomst?
• Mag ik als verwerkingsverantwoordelijke eisen dat de overeenkomst in het Nederlands wordt opgesteld?
• Mag ik weigeren dat er zaken worden toegevoegd aan de verwerkersovereenkomst die niet in art. 28 AVG zijn opgelijst, zoals aansprakelijkheidsbeperkingen en boetes bij misbruik? Kan ik bv. eisen dat deze zaken in de plaats in een verkoopsovereenkomst worden opgenomen?
• Mag de verwerker clausules uit de GDPR afzwakken, bv. door te stellen dat de verwerker zijn subverwerkers geheim houdt? Dit is belangrijk want dan kan de verwerkingsverantwoordelijke de subverwerker niet opnemen in het verwerkingsregister, terwijl ook deze entiteit de persoonsgegevens te zien krijgt.
• Wat als de verwerker zelf beweert een verwerkingsverantwoordelijke te zijn?
• Hoe zit het met de generieke verwerkersovereenkomst zoals verspreid door de VVSG?
• Enz.

Er komt een juridisch experte van time.lex uitleg en toelichting geven bij deze vragen.

Naar aanleiding van deze infosessie zal er ook heel binnenkort een generieke verwerkersovereenkomst en een bijhorende checklist volgen die alle gemeentes en OCMW’s naar derden kunnen uitsturen. Bedoeling is de versnippering van de verschillende sjablonen van verwerkersovereenkomsten tegen te gaan en 1 uniforme versie te verspreiden.

Verder is V-ICT-OR volop aan de slag met de implementatie van een functionaliteit ‘verwerkersovereenkomsten’ in zijn informatieveiligheidstool (www.informatieveiligheid.be). Dit zal toelaten om een register van verwerkersovereenkomsten aan te leggen (met metadata zoals ‘status’ en ‘naam derde’) en om een generieke verwerkersovereenkomst te gebruiken als vertrekpunt.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Verdwijnen traditionele datacenters uit de bedrijfswereld?

07/08/2018     Algemeen nieuws     Louis Descheemaecker

Gartner, toonaangevend onderzoeks- en adviesbureau in de IT-sector, stelt dat 80% van alle bedrijven binnen 7 jaar hun eigen datacentrum zullen opgeven.

Het einde van de eigen datacentra?

Boude uitspraak, maar klopt het ook? Gartner haalt aan dat IT als belangrijkste taken heeft de bedrijfsvoering zo wendbaar mogelijk te maken, snel nieuwe markten aan te boren en zo dicht mogelijk bij de afnemers diensten aan te bieden om zo latency, het tijdsinterval tussen in- en output, te minimaliseren. Steeds vaker moeten IT’ers rekening houden met nieuwe infrastructuurtoepassingen zoals Internet of Things, edge-services en software as a service die in een groeiend aantal variaties door cloudaanbieders worden aangereikt. Dan blijven er uiteindelijk weinig taken over die in het rekencentrum blijven draaien en de redenen om het datacentrum aan te houden nemen af.

Gartner vervolgt door te stellen dat de switch van eigen datacenters naar andere opties niet vandaag of morgen zal plaatsvinden. David Cappuccio, vice-president bij Gartner, schat wel dat tegen 2025 zo’n 80% van alle organisaties het eigen datacentrum gesloten zal hebben. Nu is dat zo’n 10%.

Redenen voor de verandering

Cappuccio merkt op dat de rol van fysieke infrastructuur in de loop der jaren sterk aan waarde heeft ingeboet. Vooral applicaties zijn nu key, en het aantal nieuwe cloudgebaseerde toepassingen zit in de lift (denken we maar aan Office 365). Voorts hebben organisaties niet altijd een goede reputatie voor de diensten die ze vanuit eigen infrastructuur leveren.

Migratie naar de cloud dan maar?

Betekent dit dat we ons datacenter zomaar moeten buitengooien? Niet noodzakelijk.

Een alternatief voor een publieke cloudprovider is je eigen datacenter behouden en een private cloud opzetten. Niet eenvoudig, maar, indien strategisch goed aangepakt, een upgrade van de huidige werking. Het zet ook de deur dat beetje meer open naar publieke cloudtoepassingen, een optie die je in de toekomst kunt overwegen.

Het internet staat bol van de tips rond het opzetten van een private cloud. Deze site kan u alvast op weg helpen: https://computerworld.nl/cloud/75541-10-ingredienten-voor-een-private-cloud-succes

Door te kiezen voor een private cloud heb je het voordeel van datacenterautomatisering die de publieke clouddienstverleners ook gebruiken, maar blijf je een beroep doen op je – wellicht nog niet afgeschreven – hardwareinfrastructuur. Op die manier ga je de triviale taken, die vandaag vaak nog handmatig gebeuren, automatiseren, wat tijd vrijmaakt voor meer strategisch denkwerk. Door je hardware on-premises te houden kun je je gebruikers een veel snellere infrastructuurcapaciteit aanbieden dan bij off-premises oplossing, wat dan weer de efficiëntie van je IT-gebruik ten goede komt.

Een ander voordeel is dat je zelfs met een private cloud kunt overschakelen naar een pay-per-use model, m.a.w. je betaalt slechts voor het aantal keer dat je een welbepaalde software effectief aanwendt via je cloud.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 7: werk een passende beveiliging uit.

06/08/2018     Informatieveiligheid     Louis Descheemaecker

Informatieveiligheid wordt al snel beschouwd als technische materie en als dusdanig naar IT geschoven. Het klopt dat informatieveiligheid (deels) technisch is, maar het is evengoed een zaak die het managementteam aanbelangt. In stap 7 nemen we de beveiliging van persoonsgegevens onder de loep. Als we spreken over de beveiliging van persoonsgegevens, dan maken we de opsplitsing tussen technische en organisatorische beveiligingsmaatregelen.

Wat zijn technische beveiligingsmaatregelen?

Technische beveiligingsmaatregelen kunnen we omschrijven als de technische maatregelen die erop zijn gericht om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen of beperken, dan wel de ernst van de gevolgen daarvan zo beperkt mogelijk te houden. Denk aan:

• pseudonomisering en versleuteling van persoonsgegevens;
• two-factor authenticatie;
• logging;
• firewalls;
• virusscanners;
• software tegen malwareaanvallen;
• periodiek maken van back-ups;
• veilige opslag op de server;
• goed wachtwoordbeleid;
• encryptie;
• software waarmee de verantwoordelijke of verwerker wordt verwittigd m.b.t. een bewaartermijn die op het punt staat te verstrijken.

De implementatie van dit type technische beveiligingsmaatregelen wordt best vooraf onderzocht door de IT-medewerkers. Zo moet er bijvoorbeeld worden nagegaan of encryptie compatibel is met de huidige werking van de organisatie. De IT-dienst kan tests opzetten om te zien of de beveiligingsmaatregelen naar behoren werken.

Wat zijn organisatorische beveiligingsmaatregelen?

Bij organisatorische beveiligingsmaatregelen komt het erop neer dat de verantwoordelijke er dient voor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. Dit soort maatregelen kan door de medewerkers zelf (dus niet louter de IT-dienst) worden opgezet. Daarbij kan onder meer worden gedacht aan:

• het beperken van de kring van functionarissen die toegang hebben tot bepaalde persoonsgegevens tot die personen die de gegevens nodig hebben voor de uitoefening van hun werkzaamheden;
• het verlenen van toegang aan deze personen tot enkel de persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden (‘need-to-know’ principle);
• het overeenkomen van een geheimhoudingsbeding incl. boeteclausule met alle personen aan wie toegang tot persoonsgegevens zal worden verleend;
• het bewaren van persoonsgegevens op servers in een afgesloten ruimte;
• het bewaren van papieren dossiers in afsluitbare kasten;
• het creëren van informatieveiligheidsbewustzijn onder medewerkers;
• het mooi wegsteken van losliggende papieren in mappen en niets op de bureau laten slingeren (clean desk);
• pas automatische schermbeveiliging toe wanneer u weg bent van uw scherm (clean screen);
• het opstellen van duidelijke protocollen en procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging;
• het houden van adequaat toezicht op de naleving van protocollen en wet- en regelgeving.

Welke rol spelen de bestuurders?

Ook het managementteam moet actief meedenken over wat mogelijk en wenselijk is. Zij nemen immers de beslissingen, trekken een zeker budget uit en werken de visie uit van de organisatie.

Wat als er een derde wordt ingeschakeld voor de verwerking van persoonsgegevens?

Als de verwerkingsverantwoordelijke ervoor opteert de verwerking van persoonsgegevens uit te besteden aan een derde (de verwerker), dan moet de verwerkingsverantwoordelijke kunnen garanderen dat de verwerker een passend beveiligingsniveau biedt voor de verwerking. De verwerkingsverantwoordelijke moet ook actief toezien op de realisatie van dit laatste element. De uitbesteding van de verwerking van persoonsgegevens mag geenszins leiden tot een lager beveiligingsniveau. De verwerkersovereenkomst, het contract tussen de verwerkingsverantwoordelijke en de verwerker, moet volgens art. 28 lid 3c (AVG) verplicht vermelden dat de verwerker zorg moet dragen voor de passende technische en organisatorische maatregelen, om zo een op het risico afgestemd beveiligingsniveau te kunnen waarborgen. Op grond van datzelfde artikel moet er in de verwerkersovereenkomst worden overeengekomen dat de verwerker waarborgt dat alle personen die in het kader van hun werkzaamheden kennis zullen nemen van door de verantwoordelijke aan de verwerker ter beschikking gestelde persoonsgegevens zijn gebonden aan een wettelijke of contractuele verplichting tot geheimhouding, hetgeen een schoolvoorbeeld is van een organisatorische beveiligingsmaatregel.

Heeft V-ICT-OR nog tips hieromtrent?

• Beveiligingsmaatregelen moeten steeds proportioneel zijn t.o.v. het risico dat ze moeten indekken. Een kinderdagverblijf dat werkt met papieren documenten maar zonder computer heeft geen baat bij de aankoop van een antivirusprogramma. In dat geval moet er eerder gekeken worden naar klassieke klasseersystemen: mappen, ordners, archiefkasten. Dergelijke papieren in een map steken, waardoor ze niet zomaar rondslingeren in het kinderdagverblijf, is al een degelijke, adequate maatregel.
• Het opzetten van beveiligingsmaatregelen is een balansoefening. Hoe strenger de maatregelen, des te lager het gebruiksgemak. Hoe minder maatregelen, des te groter het gebruiksgemak. Identificeer de risico’s binnen je organisatie en pak ze passend aan met de nodige maatregelen, maar zorg geenszins voor overkill. Het lijkt misschien aanlokkelijk om maatregelen te omzeilen, maar weet dat je dan je verantwoordelijkheid als werknemer ontloopt m.b.t. informatieveiligheid.
• Weet dat veel beveiligingsmaatregelen quasi automatisch kunnen lopen. Dat betekent het volstaat om, eens het proces op punt staat, de resultaten te overlopen en het proces waar bij te sturen. Logging, het proces waarbij er automatisch wordt bijgehouden wie wanneer toegang had tot welke informatie, is een instelling die kan worden aangezet binnen bepaalde softwaresystemen. Updates voor firewalls, antivirussystemen, lokale software… kunnen automatisch worden ingesteld. Voor software die niet automatisch kan worden geüpdatet gebruik je bv. software update management systems.
• Veiligheidsmaatregelen zijn an sich niet verplicht. Weet wel dat, als je ervoor kiest om een maatregel niet te gebruiken, dat je je keuze moet kunnen verantwoorden op vraag van de Gegevensbeschermingsautoriteit. Het is toegestaan om encryptie niet te hanteren als technische beveiligingsmaatregel, bv. omdat de werking van de organisatie er niet geschikt voor is. Dan kun je bijvoorbeeld ter compensatie wel sterk inzetten op pseudonimisering.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 6: stel uw dataregister op.

02/08/2018     Informatieveiligheid     Louis Descheemaecker

Het dataregister, ook wel verwerkingsregister genoemd, is het document waarmee een organisatie beantwoordt aan de verantwoordingsplicht zoals die onder art. 5 van de Algemene Verordening Gegevensbescherming (AVG) beschreven staat. Voornoemd artikel vermeldt alle gegevens die uw organisatie moet kunnen voorleggen op vraag van de Gegevensbeschermingsautoriteit m.b.t. de verzameling, verwerking en eventuele doorgifte van persoonsgegevens.

Zowel de verwerkingsverantwoordelijke (Engels: controller) als de verwerker (Engels: processor) zijn verplicht een verwerkingsregister bij te houden, maar dat van de verwerker is in feite een light-versie (lees: bevat minder kolommen) van dat van de verwerkingsverantwoordelijke.

De verantwoordingsplicht vervangt de vroegere aangifteplicht van de Privacycommissie. De aangifteplicht bestond erin dat geautomatiseerde verwerkingen van persoonsgegevens voorafgaandelijk aan de Privacycommissie moesten worden aangegeven. De AVG vervangt deze verplichting en zorgt voor een uitbreiding van de vroegere rechten van de betrokkene. Tevens komt de AVG tegemoet aan de steeds snellere technologische ontwikkelingen inzake het verzamelen van persoonsgegevens en biedt het een administratieve vereenvoudiging t.o.v. de aangifte.

Terwijl de vroegere ‘aangifte’ een publiek document was, is het verwerkingsregister een document dat puur voor intern gebruik dient, maar dat dus wel op vraag van de Gegevensbeschermingsautoriteit moet kunnen worden voorgelegd.

Is er een sjabloon van verwerkingsregister van waaruit ik mag starten?

De Gegevensbeschermingsautoriteit heeft op zijn website een model van verwerkingsregister staan dat als voorbeeld kan gehanteerd worden: https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten. Let op: er zijn tal van andere bruikbare verwerkingsregisters in omloop. Het maakt niet uit welk register je kiest, zolang de verplichte kolommen maar opgenomen zijn. Om te weten over welke kolommen het gaat neem je best een kijkje in het model van de Gegevensbeschermingsautoriteit. Vouw alle categorieën van kolommen open door op + te klikken in de Excel-file. De titels van de verplichte kolommen voor het verwerkingsregister worden in het rood weergegeven.

Het model verwerkingsregister van de Gegevensbeschermingsautoriteit bestaat uit volgende tabbladen:

• tabblad "Identificatie van de verwerkingsverantwoordelijke": identificatie van de organisatie die het register beheert en desgevallend de identificatie van de functionaris voor de gegevensbescherming;
• tabblad "register": het eigenlijke register waar de verschillende soorten gegevensverwerkingen worden ingevuld;
• tabblad "lijsten": lijsten met voorbeeldwaarden als hulp bij het invullen van het Register;
• tabblad "handleiding register": hier wordt uitgelegd hoe u het Register moet invullen;
• tabblad "mapping aangifte": dit tabblad vergelijkt de rubrieken uit het verwerkingsregister met de rubrieken uit de vroegere aangifte van de verwerking. Kolom A herneemt de categorieën van het Register en kolom B geeft het equivalent dat u in uw aangifte kunt terugvinden.

Wat moet een dataregister allemaal bevatten?

De verplichte kolommen voor de verwerkingsverantwoordelijke zijn de volgende:

• Naam + contactgegevens: Vermeld deze gegevens voor de verwerkingsverantwoordelijke en DPO.
• Doel verwerking: Met welke finaliteit worden persoonsgegevens verwerkt?
• Functionele gegevenscategorie: Onder welke categorie vallen de verwerkte persoonsgegevens?
• Categorie betrokkenen: Onder welke categorie vallen de betrokkenen van wie de persoonsgegevens worden verwerkt?
• Bewaartermijn: Hoe lang mogen de verwerkte persoonsgegevens bewaard worden?
• Categorieën ontvangers: Onder welke categorie vallen de personen die de persoonsgegevens ontvangen?
• Derde land/internationale organisatie: Worden de persoonsgegevens doorgegeven naar een derde land of internationale organisatie? Hiermee wordt een niet-Europese entiteit bedoeld die zich niet aan de AVG moet houden, maar misschien andere relevante regels kent.
• Documenten passende waarborgen: Als er effectief sprake is van doorgifte van persoonsgegevens naar een derde land/internationale organisatie of een doorgifte zoals bedoeld in art. 49.2 van de AVG, dan moet u in een of meerdere documenten aanduiden welke extra beveiligingsmaatregelen u heeft getroffen om deze persoonsgegevens te beschermen tegen datalekken. De link naar deze documenten moet u vervolgens opnemen in het dataregister.
• Beschrijving beveiligingsmaatregelen: Vermeld hier de technische en organisatorische maatregelen die zijn genomen ter bescherming van de persoonsgegevens.

De verwerker moet ook een – weliswaar beperkter – verwerkingsregister opstellen.
Dit moet volgende zaken bevatten:

• Naam + contactgegens: Vermeld deze gegevens voor de verwerker en de DPO.
• Categorieën verwerkingen: Dit is hetzelfde als de ‘doeleinden verwerking’ uit het register van de verwerkingsverantwoordelijke.
• Derde land/internationale organisatie: Worden de persoonsgegevens doorgegeven naar een derde land of internationale organisatie? Hiermee wordt een niet-Europese entiteit bedoeld die zich niet aan de AVG moet houden, maar misschien andere relevante regels kent.
• Beschrijving beveiligingsmaatregelen: Vermeld hier de technische en organisatorische maatregelen die zijn genomen ter bescherming van de persoonsgegevens.

Welke organisaties moeten allemaal een dataregister opstellen?

De AVG bepaalt dat alle ondernemingen met 250 of meer werknemers sowieso een verwerkingsregister moeten bijhouden. Betekent dat dat ondernemingen/organisaties met minder dan 250 werknemers hier niet toe verplicht zijn?

Niet noodzakelijk.

Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:

1. het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
2. de verwerking niet incidenteel is, of;
3. de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.

De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt, zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.

Het is de tweede uitzondering die problemen oplevert. Want wanneer definieer je een verwerking als ‘niet incidenteel’? Een kleine organisatie die enkele niet-incidentele verwerkingen van persoonsgegevens uitvoert is al verplicht een verwerkingsregister opstellen. Niet-incidenteel mogen we in deze context omschrijven als “met enig structureel of voortdurend karakter”. Het bijhouden van een salarisadministratie en klantenbestand, en zelfs het gebruik van e-mail vallen hier dus onder.

Om er zeker van te zijn dat je als organisatie aan de verplichtingen voldoet, raadt de Gegevensbeschermingsautoriteit elke organisatie aan om een verwerkingsregister op te stellen (zie https://www.gegevensbeschermingsautoriteit.be/faq-themas/register-van-de-verwerkingsactiviteiten). Het geeft ook mee dat een dergelijk register een bijzonder nuttig overzicht biedt van alle verwerkingen van de organisatie, en dat het daarom zeker de de tijd en moeite loont om het op te stellen.

De Gegevensbeschermingsautoriteit vermeldt verder dat het register voor ondernemingen met minder dan 250 werknemers beperkt mag blijven tot de niet-incidentele verwerkingen. Dat betekent dat het register er voor deze organisaties heel wat eenvoudiger uitziet. Vergeet wel niet dat ook de verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkene moeten worden opgenomen in het verwerkingsregister.

Het dataregister bevat verwerkingsactiviteiten… Maar wat wordt daar precies mee bedoeld? Hoe diep mag ik gaan om iets als verwerkingsactiviteit te bestempelen?

Artikel 30 van de AVG bevat een overzicht van de informatie die per verwerkingsactiviteit moet worden geregistreerd. Wat er met ‘verwerkingsactiviteit’ bedoeld wordt, daar blijft de AVG enigszins vaag over… wat betekent dat organisaties zelf moeten bepalen tot welk niveau ze verwerkingsactiviteiten zullen definiëren. Geen eenvoudige klus. Voorbeelden van verwerkingsactiviteiten zijn: salarisadministratie, bepaalde bedrijfsanalyses, recruteringscampagnes en het versturen van nieuwsbrieven. Door data te inventariseren (stap 5 uit deze reeks nieuwsberichten) ga je na hoe data uit een bepaalde bron wordt aangewend om een verwerkingsactiviteit te voltooien en zal het duidelijk worden hoe risicovol of hoe veilig die activiteit eigenlijk wel is. Door in die stap databronnen (bv. bepaalde softwaredatabases) met datastromen (het pad dat data aflegt) te linken, kun je nagaan wat de verwerkingsactiviteiten zijn per dienst.

Heeft V-ICT-OR nog tips omtrent het opstellen van het verwerkingsregister?

• Niemand kan een verwerkingsregister op zijn eentje opstellen. Het bevat tenslotte informatiestromen uit alle diensten binnen uw organisatie, en niemand is perfect vertrouwd met alle diensten. Laat het verwerkingsregister rondgaan bij de diensthoofden, zodat zij voor hun eigen dienst kunnen bepalen welke verwerkingsactiviteiten er plaatsvinden.
• Zorg ervoor dat de mensen die het register invullen een zekere uniformiteit bewaren. Enkele van onze contactpersonen die dataregisters opstellen hebben het al meegemaakt: op het einde van de rit krijgen ze een dataregister terug dat een wirwar is van termen, schrijfstijlen, kleuren en, misschien nog erger, interpretaties. Zorg dat je vooraf duidelijk communiceert over de terminologie, de materie en de te hanteren schrijfstijl (bv. bullet points of voluit, gebruik kleuren in dataregister) zodat je jezelf veel werk bespaart achteraf.
• Maak gretig gebruik van de resultaten uit de vorige stap, nl. de datainventarisatie! Als dit is gebeurd, is het opstellen van het dataregister een stuk makkelijker.

Bron afbeelding: https://www.frankwatching.com/archive/2018/01/29/gdpr-aandachtspunten-digital-marketeers/

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 5: inventariseer je persoonsgegevens.

31/07/2018     Informatieveiligheid     Louis Descheemaecker

Iets waar we in de V-ICT-OR opleiding DPO de nadruk op leggen, is de inventarisatie van persoonsgegevens. Dit is een proces waar je als organisatie veel tijd en moeite moet insteken, maar dat zichzelf terugbetaalt door het inzicht dat het verschaft in de werking van je organisatie.

We splitsen de inventarisatie van data op in 4 aspecten: de databronnen, de datastromen, de actoren en de risico’s.

Databron: waar komen de gegevens vandaan?

Datastroom: welk pad leggen de persoonsgegevens af binnen de organisatie? Langs welke locaties stroomt de data? Waar eindigt het op het einde van de rit? Misschien gaat het zelfs naar een niet-Europese organisatie of een niet-Europees land?

Actoren: wie komt er in aanraking met de persoonsgegevens?

Risico’s: welke risico’s zijn er verbonden aan de datastroom?

In wat volgt nemen we deze elementen onder de loep.

Wat is een databron?

Databronnen in deze context betekent verzamelingen van persoonsgegevens, zowel in digitale als fysieke vorm. Op digitaal vlak kunnen persoonsgegevens vervat zitten in databases, software, e-mailsystemen, enz. Op fysiek vlak kunnen we dan weer denken aan dossierkasten, mappen, safes, bureaus, enz.

Wat is een datastroom?

De datastroom duidt aan welk pad persoonsgegevens afleggen van de databron tot het eindpunt van de verwerking. Houd er rekening mee dat een databron het startpunt kan vormen van meerdere datastromen. Eén datastroom komt echter meestal overeen met één verwerkingsactiviteit.

Wat zijn actoren?

Hier ga je opsommen door welke personen de persoonsgegevens verwerkt worden. M.a.w. wie heeft er te maken met de verwerkingsactiviteit? Indien je geen specifieke persoon kan linken aan een verwerkingsactiviteit, kun je ook een dienst als geheel vermelden.

Wat zijn risico’s?

Welke risico’s zijn er verbonden aan de databronnen, datastromen en actoren die gelinkt zijn aan een set persoonsgegevens? Dit mag je heel breed zien: misschien zijn de databronnen wel helemaal niet veilig (slecht beveiligde software, losse files in dossierkasten), misschien gebeurt het transport van de data wel helemaal niet zo veilig (gevoelige dossiers die los in een open doos worden verplaatst), of misschien is er onduidelijkheid over hoe dossiers moeten vernietigd worden (medewerkers die files in de container met niet-gevoelige informatie steken, terwijl het net in de container voor gevoelige informatie moest). Tip: bezoek de plaatsen waar persoonsgegevens verwerkt worden en denk na over wat er allemaal kan mislopen. Spreek met de mensen die de persoonsgegevens te zien krijgen en vraag naar hun ervaringen en bedenkingen.

Waar moet ik speciaal op letten bij de inventarisatie van data?

Het bestandstype, de methode, het representatief karakter en de resultaten zijn hier de sleutelwoorden.

Bestandstype: onder welk bestandstype sla je de inventarisatieresultaten op? Kies je ervoor om een Excel-bestand uit te wisselen met de verschillende diensten? Of installeer je een tool die gespecialiseerd is in inventarisatie? Wees je ervan bewust dat deze keuze ook belangrijk is naar de toekomst toe, aangezien je de resultaten achteraf moet beheren en systematisch moet blijven updaten. Hoe je de resultaten ook bijhoudt, je moet ze in ieder geval kunnen voorleggen aan de Gegevensbeschermingsautoriteit als daarnaar gevraagd wordt.

Methode: welke methode hanteer je om de inventarisatie uit te voeren? Vermoedelijk zal je werken met een of meerdere vragenlijsten. Een mogelijke werkwijze is om eerst de interne software in kaart te brengen die met persoonsgegevens werkt (aantal betrokkenen, types betrokkenen, types persoonsgegevens, locatie systeem, beheer, etc.). Daarna kun je de verwerkingen oplijsten. Ten slotte kun je de software linken met de relevante verwerkingen (welke software wordt gebruikt voor welke verwerking van persoonsgegevens?)

Representatief karakter: heb je rekening gehouden met alle onderdelen van je organisatie? Zorg ervoor dat de datainventarisatie representatief is voor de hele organisatie. De personen die meehelpen om de inventarisatie uit te voeren moeten minstens een basiskennis informatieveiligheid/GDPR bezitten.

Resultaten: eens de datainventarisatie voltooid is, is het kwestie van dit up-to-date te houden. De verzamelde data kan je helpen om verbeteringen door te voeren op de werkvloer. Het is een goed idee je resultaten te standaardiseren (m.a.w. meetbaar te maken) om zo risicofactoren en -profielen te identificeren. Als alles goed gaat zal je nu zien welke systemen een cruciale rol spelen in je bedrijfsvoering en welke gegevensverzamelingen overbodig blijken te zijn. Trek conclusies uit de resultaten en plan verbeteringen in. Als toezichthouder moet je een geactualiseerde datainventarisatie kunnen voorleggen, idealiter met een dashboard met metagegegevens (bv. metingen, risicofactoren…); dit toont namelijk aan dat je grip hebt op je persoonsgegevenshuishouding.

Wat als deze elementen allemaal zijn opgelijst?

De datainventarisatie vormt in feite het ideale vertrekpunt voor het opstellen van je verwerkingsregister. Daar ga je bv. na of de persoonsgegevens doorstromen naar een derde land/internationale organisatie en, zoja, of er passende waarborgen zijn voor de beveiliging ervan (vloeit voort uit ‘datastroom’), welke beveiligingsmaatregelen er genomen worden en waarom (vloeit voort uit ‘risico’s’).

Datainventarisatie vormt daarnaast de basis van andere stappen die je gegevensbeschermingsbeleid versterken, bijvoorbeeld de passende beveiliging persoonsgegevens (als je risico’s kent van de datastroom, kun je erop anticiperen) en de contracten (als je je software als databron hebt opgelijst, heb je onmiddellijk al een idee van de verwerkersovereenkomsten die je zult moeten opstellen).

Succes en tot stap 6 waarin we het zullen hebben over het verwerkingsregister!

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Gezocht: 2 deskundigen informaticus-systeembeheerder (Stad en OCMW Geraardsbergen)

30/07/2018     Vacature     Louis Descheemaecker

• proactief op zoek gaan naar eigentijdse informaticaoplossingen zodat medewerkers hun takenpakket op een efficiënte en aangename manier kunnen afhandelen,
• samenwerkingsverbanden aangaan met partners, dochterbesturen en bovengemeentelijke ICT organisaties, teneinde voldoende slagkracht op te bouwen om oplossingen die passen in het huidig tijdsbeeld aan te bieden aan de burger.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 4: organiseer bewustmakingssessies.

27/07/2018     Informatieveiligheid     Louis Descheemaecker

Een stevig informatieveiligheidsbeleid (incl. persoonsgegevensbescherming) rust op verschillende pijlers, zoals een concreet actieplan, een afgebakende informatieveiligheidscel, correcte afspraken en voldoende steun voor de DPO, zowel van onderaf (de operationele kant) als bovenaf (het bestuur). Desondanks staat of valt alles met de zwakste schakel, en dat is de mens. Niet vanwege kwade bedoelingen, maar wel vanuit onwetendheid en een gebrek aan bewustzijn rond de materie. Bewustmakingssessies informatieveiligheid spelen hierop in en leren de werknemers waar informatieveiligheid voor staat, welke dreigingen het kan voorkomen, welke maatregelen er reeds zijn uitgezet in dat kader en waarom, en hoe elke medewerker zijn steentje kan bijdragen om tot een beter informatieveiligheidsbeleid en een effectievere persoonsgegevensbescherming te komen.

In wat volgt geven we vanuit V-ICT-OR concrete tips rond bewustmakingssessies.

Hoe lang mag de bewustmakingssessie zijn?

Dit is een heikel punt, aangezien de sessie niet te kort mag zijn (je wil niet teveel content in een al te kleine tijdspanne proppen), maar ook niet te lang (je wil je publiek niet vervelen). Een sessie van anderhalf tot 2 uur volstaat in de meeste gevallen om een goed gestructureerde en begrijpelijke presentatie te geven.

Welke grootte van doelpubliek is aangewezen?

Qua schaal van doelpubliek kun je gaan van heel klein (individueel) tot heel groot (globaal). In dit opzicht wil je zoveel mogelijk mensen per sessie meekrijgen in je verhaal, maar tegelijk wil je ook de sessie enigszins ‘op maat’ aanbieden, zodat mensen voeling krijgen met de materie. Organiseer de sessies naargelang de werking van je organisatie, d.w.z. meestal per dienst (bv. dienst burgerzaken, financiën, technische dienst…). Let op: alleen diensten die in aanraking komen met persoonsgegevens hebben baat bij deze sessies. Sta dus even stil bij de vraag welke diensten met dergelijke informatie in aanraking komen. Door de sessie per dienst te organiseren kun je meer werken met relevante praktijkvoorbeelden, kun je eventuele vragen anticiperen en zelf meebrengen naar de sessie, en kun je de materie doelgerichter uitwerken voor het doelpubliek.

Welke zaken kan ik aankaarten tijdens een bewustmakingssessie?

Hieronder vind je alvast een aantal onderwerpen die aan bod kunnen komen:

• basisprincipes GDPR (finaliteit, proportionaliteit, transparantie…);
• kernbegrippen GDPR (bv. toestemming, verwerker, verwerkingsverantwoordelijke);
• bewaartermijnen;
• belang van inventarisatie en aanpak;
• rechten van de betrokkene (recht van inzage, bezwaar, correctie, enz.);
• sensibilisatie informatieveiligheid (waar kun je op letten, welke risico’s…);
• motivatie informatieveiligheid (waarom is het belangrijk? En waarom voor u specifiek?);
• wachtwoord policy;
• clean desk policy;
• clear screen policy (geen gevoelige informatie laten staan op scherm, schermbeveiliging…);
• klikgevaar;
• gevaren mobiele apparatuur;
• enz.

Hoe bouw ik een goede presentatie op?

Een presentatie opstellen is altijd even zoeken. Ga ervan uit dat de eerste presentatie nooit perfect kan zijn. Zorg vooral dat de presentatie inhoudelijk goed zit, dat het gestructureerd is en dat het voor een ‘leek’ duidelijk is (toets het misschien eens bij een familielid of vriend). Eens je de presentatie voor de eerste keer gegeven hebt, zal er veel feedback volgen uit het publiek. Gebeurt dat niet, vraag er dan actief naar (dat zal ook geapprecieerd worden!). Houd de opmerkingen van de sessie (rond inhoud, vragen, vorm presentatie…) goed bij en neem ze mee naar volgende sessies. Zo kun je jezelf gaandeweg verder verdiepen in de werking van de dienst en constructief je kennis inzake informatieveiligheid opbouwen. Zorg ervoor dat de sessie interactief is (vraag-antwoord) en dat je jezelf in de plaats zet van de medewerker (wat als ik met die vragen zat?). Geef voorbeelden die herkenbaar zijn voor de diensten.

Hoe kan ik vermijden dat het een ver-van-je-bedshow wordt?

Informatieveiligheid wordt al snel gezien als een onderwerp dat niet voor de medewerker zelf van toepassing is. Meestal ten onrechte. Informatieveiligheid (en persoonsgegevensbescherming) heeft met zoveel te maken dat de meeste functies wel raakpunten hebben, ook al zijn die niet altijd duidelijk van bij het begin. Vermijd het ver-van-je-bedgevoel door de presentatie ludiek te maken en te spijzen met voorbeelden uit het werkveld. Zorg voor betrokkenheid en ‘aha-erlebnissen’ om mensen in je presentatie te betrekken.

De bewustmakingssessies zijn gegeven. Wat nu?

Informatieveiligheid is een topic die je binnen je organisatie top-of-mind moet houden. Je kunt dit op verschillende manieren bewerkstelligen. Stuur bv. intern enquêtes uit om te peilen naar het niveau van bewustzijn rond informatieveiligheid. Of zet intern acties uit om te zien hoe medewerkers omgaan met gevoelige informatie: een usb-stick met gevoelige informatie die rondslingert, een zogezegd verkeerd gestuurde mail met loonfiches van collega’s, enz. Een derde mogelijkheid is om regelmatig mails te versturen die tips bevatten rond informatieveiligheid en die de nieuwste maatregelen bespreken die recentelijk intern zijn uitgerold.

Hoe kan V-ICT-OR mij hierbij helpen?

V-ICT-OR helpt lokale besturen in het kader van premiumabonnementen met hun bewustmakingssessies. Samen denken we na over niet alleen de basisinhoud (principes GDPR, kernbegrippen…), maar ook over de specifieke werking van uw organisatie en hoe deze verenigbaar is met de vereisten uit de privacywetgeving.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn

Persoonsgegevensbescherming in a nutshell. Stap 3: stel uw informatieveiligheidsbeleid op.

25/07/2018     Informatieveiligheid     Louis Descheemaecker

In de vorige 2 stappen hebben we het al gehad over de DPO en zijn projectteam. Zij werken voor hun organisatie aan het informatieveiligheidsbeleid, dat niet alleen aspecten van informatieveiligheid toelicht, maar ook focust op het onderliggende aspect van persoonsgegevensbescherming dat nu met de AVG (GDPR) speciale aandacht krijgt.

Hoe begin ik te werken aan mijn informatieveiligheidsbeleid?

Het informatieveiligheidsbeleid vloeit grotendeels voort uit de resultaten van 3 voorafgaande analyses van uw organisatie, nl. de risicoanalyse, de maturiteitsmeting en het veiligheidsplan. Hier nog even de opzet van elke analyse:

• Risicoanalyse: analyseer de risico’s binnen uw organisatie m.b.t. informatieveiligheid en persoonsgegevensbescherming. Welke risico’s duiken frequent op? Welke potentiële impact hebben ze op de werking van uw organisatie? Welke maatregelen neemt u om ze te voorkomen? Welke aanpak hanteert u bij elk risico?
• Maturiteitsmeting: meet de maturiteit van uw organisatie m.b.t. informatieveiligheid en persoonsgegevensbescherming. Hoe ver staat u met uw informatieveiligheidsbeleid? Welke aspecten staan reeds op punt en welke hebben nog werk nodig?
• Veiligheidsplan: koppel acties aan de werkpunten (lees: de aspecten met lage maturiteit) in uw informatieveiligheidsbeleid. Werk deze acties verder uit met verantwoordelijken, uitvoerders, deadlines, bijbehorende projecten, enz.

Eens u deze stappen hebt doorlopen, zal het snel duidelijk worden op welke vlak u moet inzetten om uw beleid te versterken. Het is nu zaak deze informatie in een formeel document te verwerken.

Ok, ik heb de risicoanalyse en maturiteitsmeting uitgevoerd en een veiligheidsplan uitgewerkt. Wat nu?

De volgende stap is het schrijven van een beleidsnota. De beleidsnota is een document voor intern gebruik. Het bestaat enerzijds uit een algemeen stuk (het informatieveiligheidsbeleid) waarin u het belang aankaart van informatieveiligheid binnen uw organisatie, de rollen terzake definieert (bv. informatieveiligheidsconsulent en DPO, maar ook bestuursorganen) en verwijst naar de uitgevoerde analyses. Ook de algemene principes van informatieveiligheid, de kernbegrippen en de relevante wetteksten verdienen hier een verwijzing. Anderzijds bestaat het uit een reeks bijlagen, in feite praktische documenten, waarmee u informatieveiligheid verder kunt uitrollen zowel binnen uw organisatie (denk aan procedures op de werkvloer) als daarbuiten (denk aan contact met externen). Voorbeelden hiervan zijn legio: clean desk policy, privacyverklaring, verwerkersovereenkomst, vertrouwelijkheidsverklaring, enz.

Eens de beleidsnota op punt staat, is het belangrijk om deze ter goedkeuring voor te leggen aan uw bestuur. Als de inhoud is goedgekeurd, kan de DPO en zijn projectteam de onderliggende documenten actief gaan gebruiken om zo de bescherming van persoonsgegevens op de werkvloer te garanderen.

• Werk een algemene visie uit rond informatieveiligheid en neem die op in de beleidsnota.

Neem volgende regelgeving zeker door en verklaar hoe u ermee rekening hebt gehouden in het opstellen van uw informatieveiligheidsbeleid:

• de Algemene Verordening Gegevensbescherming (GDPR);
• de 13 stappen zoals gedefinieerd door de Gegevensbeschermingsautoriteit (vroeger de Privacycommissie): https://www.privacycommission.be/nl/bereid-je-voor-13-stappen
• de richtsnoeren versie 3.0: http://vtc.corve.be/infoveiligheid.php die als basis voor de maturiteitsmeting gebruikt kunnen worden;
• de regelgeving specifiek voor uw sector (nader te bepalen).

Omschrijf verder:

• wat persoonsgegevens zijn;
• wat gevoelige persoonsgegevens zijn;
• wat de basisprincipes informatieveiligheid zijn (vertrouwelijkheid, integriteit, beschikbaarheid, finaliteit, proportionaliteit, transparantie).

Verwijs naar uw veiligheidsplan als het resultaat van de risicoanalyse en maturiteitsmeting. Dit plan omvat de krachtlijnen van uw informatieveiligheidsbeleid en vormt een uiterst praktisch document voor het projectteam gegevensbescherming.

Verwijs naar de basisbeginselen informatieveiligheid m.b.t. risico’s, nl.:

• vertrouwelijkheid: hou persoonsgegevens geheim, respecteer privacy;
• integriteit: zorg voor een juiste, tijdige en complete presentatie van persoonsgegevens wanneer vereist (bv. bij controles, audits…);
• beschikbaarheid: zorg dat data beschikbaar is wanneer het nodig is, en zorg voor een plan B (redundantie, back-up…).

Verwijs tevens naar de basisprincipes informatieveiligheid die uit de privacywetgeving voortvloeien, nl.:

• finaliteit: de verwerking van persoonsgegevens moet steeds een bepaalde gerechtvaardigde doelstelling dienen;
• proportionaliteit: verwerk gegevens slechts in zoverre ze toereikend, ter zake dienend en niet overmatig zijn;
• transparantie: informeer betrokkenen op een duidelijke en transparante wijze over welke persoonsgegevens juist worden verwerkt.

Vermeld wie de rol van informatieveiligheidsconsulent en de rol van DPO binnen uw organisatie opneemt (naam + functie).

Vermeld alle bestuursorganen binnen uw organisatie. Deze hebben een significante invloed op uw informatieveiligheidsbeleid, aangezien zij de initiatieven van de informatieveiligheidscel kunnen goed- en afkeuren.

Vermeld alle leden van het projectteam/informatieveiligheidscel (naam + functie).

Vermeld dat u de documenten in de nota zal voorleggen aan uw bestuur ter goedkeuring.

• Voeg bijlagen toe aan de beleidsnota waarmee het projectteam persoonsgegevensbescherming (of de informatieveiligheidscel als de DPO en informatieveiligheidsconsulent dezelfde zijn) aan de slag kan.

Voorbeelden die wij vanuit V-ICT-OR meegeven in onze begeleiding informatieveiligheid zijn: clean desk policy, vertrouwelijkheidsverklaring, wachtwoordbeheer, gedragscode IT-beheerder en verwerkersovereenkomst.

Opmerking: Zorg dat er na elke bijlage een tabel staat waarin elk lid van de informatieveiligheidscel zijn naam en handtekening kan zetten ter goedkeuring. Zo heb je als DPO een bewijs dat ieder lid van de cel zijn goedkeuring verleent m.b.t. de toepassing van die documentatie.

Hoe kan V-ICT-OR mij hierbij helpen?

Organisaties die van start gaan met informatieveiligheid kunnen via V-ICT-OR een 3-daags traject informatieveiligheid volgen. Daarin maken ze kennis met de basisprincipes van de materie, leren ze hoe ze de tool van V-ICT-OR kunnen gebruiken, doorlopen ze de maturiteitsmeting en het veiligheidsplan, en krijgen ze op het einde van de rit een beleidsnota en veiligheidsplan waarmee ze van start kunnen gaan.

De begeleiding hoeft daar niet te stoppen. V-ICT-OR biedt nog 2 mogelijke vervolgtrajecten aan.

• Premiumabonnement

Het premiumabonnement biedt lokale besturen vanuit V-ICT-OR 10 dagen begeleiding aan die vrij mogen worden opgevuld. Mogelijke onderwerpen zijn: begeleiding fusietraject, uitwerking nieuwe informatiearchitectuur, opbouw nieuwe website… Maar dus ook informatieveiligheid.

• (Tijdelijke) begeleiding door onze DPO

V-ICT-OR stelt zijn DPO ter beschikking om voor beperkte tijd het informatieveiligheidsteam te ondersteunen. Bedoeling is dat de DPO van V-ICT-OR uw interne/externe DPO gaandeweg gaat opleiden zodat hij/zij de taken zelfstandig kan gaan uitoefenen.

De tool informatieveiligheid van V-ICT-OR kan u helpen om veel aspecten van uw informatieveiligheidsbeleid uit te werken of te versterken. Zo kan u een risicoanalyse uitvoeren, een maturiteitsmeting uitvoeren en een veiligheidsplan opstellen. Verder kan u statistieken opvragen m.b.t. deze analyses, kunt u gestandaardiseerde vragenlijsten gebruiken of eigen vragenlijsten opstellen (bv. voor bewustzijnscampagnes), kunt u de leden van de veiligheidscel toevoegen aan de omgeving, de kalender van de veiligheidscel uitwerken, bestanden delen met alle leden van de cel… Binnenkort wordt het ook mogelijk om via de tool datalekken te melden aan de Gegevensbeschermingsautoriteit en de betrokkene, om via de tool datalekken in een register bij te houden en om verzoeken van betrokkenen bij te houden en op te volgen.

Deel deze post: Deel op Twitter Deel op Facebook Deel op LinkedIn