De nieuwe Europese privacy wetgeving (AVG)

Persoonlijke data is veel geld waard. Daarom verzamelen steeds meer bedrijven op grote schaal persoonlijke gegevens met verschillende doeleinden. Dit kan variëren van interne marketing analyses, tot het onbeschaamd met winstoogmerk doorverkopen van uw profielinformatie en bijbehorende data.
Als bezoeker heeft u vaak zelfs op beveiligde sites (SSL) niet in de gaten welke gegevens wél en welke gegevens niét worden gedeeld, hoe veilig deze zijn opgeslagen en hoe lang deze beschikbaar blijven. Bovendien kan het per land verschillende op welke wijze er door de overheid toezicht wordt gehouden. Als consument bent u daardoor kwetsbaar voor misbruik. Daarom wil de Europeese Unie per 25 mei 2018, daar verandering in brengen met één privacy wet voor hele EU: de Algemene Verordering van Gegevensbescherming (AVG).

“Privacy by design”

Met de wet Algemene Verordening van Gegevensbescherming (AVG) wordt het verplicht gesteld dat de verwerking van persoonsgegevens voldoet aan “privacy by design”. Dat betekent zoveel als dat er rekening gehouden dient te worden met het doel waarmee de gegevens worden bewaard. De gegevens moeten zo kort mogelijk bewaard worden, en alleen indien dit strikt noodzakelijk is. De gegevens moeten zoveel mogelijk worden geanonimiseerd en er moet door de websitehouder rekening worden gehouden met de versleuteling waarmee de gegevens worden opgeslagen.

U wordt als organisatie geacht zelf de risico-analyse uit te voeren en zo nodig maatregelen treffen zodat uw website voldoet aan de nieuwe wetgeving. Aan overheidsorganisaties wordt ook verplicht gesteld om een privacy functionaris in dienst te stellen, die op basis van zijn kennis het  bewustzijn van privacy binnen de organisatie moet stimuleren zodat alle werknemers doordrongen zijn met het belang van privacy. Dit geldt ook voor organisaties die op grote schaal bijzondere persoonsgevens verwerken, zoals bijvoorbeeld ziektekostenverzekeraars.

De wet bepaalt dat de verantwoordelijkheid van de privacy niet langer alleen bij werkgever ligt, maar óók de werknemer.

Voorbeeld 1.

“Een bekend voorbeeld is het versturen van een nieuwsbrief en daarbij niet letten of de adressen in het CC of BCC veld worden gezet. Wanneer de adressen in de CC-lijst worden gezet, zijn namelijk alle ontvangers zichtbaar. Niet iedereen stelt het op prijs dat anderen kunnen zien welke informatie zij ontvangen. In dit geval verzuimt u de naleving van de privacy wet en is het dus belangrijk dat de werknemer die verantwoordelijk is voor de communicatie, hiervan op de hoogte is. Een cyber crimineel zou namelijk uw lijst naderhand een phishingmail kunnen sturen en zo andere strikt vertrouwelijke gegevens buit kunnen maken.”

Voorbeeld 2.

“Een medewerker van een zorginstelling maakt gebruik van een laptop die hij mee neemt als hij pendelt tussen zijn afspraken. Op die laptop kan gevoelige informatie staan zoals medische gegevens van de patiënten. Zo’n laptop kan gestolen worden, wat hem in principe niet kwalijk te nemen is. Wanneer deze echter niet versleuteld is, komen al die gegevens op straat te liggen. Er mag in zo’n geval verwacht worden van de werknemer dat hij zijn werkgever vraagt om de nodige maatregelen te treffen.”

Wat zijn persoonsgegevens precies?

Persoonsgevens is een vrij breed begrip. In eerste instantie denkt u waarschijnlijk aan uw naam, uw adres en woonplaats. Maar in feite gaat het om alle informatie die aan u als persoon is gebonden, dus o.a.:

  • Adres en huisnummer;
  • Browser geschiedenis;
  • Burgerservicenummer;
  • E-mailadres(sen);
  • Gebruikersnaam;
  • Naam;
  • Opleiding(en);
  • Uw interesses, hobbies of andere relevante activiteiten;
  • Medische gegevens;
  • Rekeningnummers en banksaldi;
  • Relatie;
  • Religie;
  • Postcode en Woonplaats;
  • Wachtwoorden.

Deze lijst bevat slechts een aantal voorbeelden ter illustratie en is verder uit te breiden of verder onder te verdelen. Het profiel van u of uw klanten dat met deze informatie kan worden geschetst, kan op verschillende manier gebruikt worden door cybercriminelen. Het bewustzijn hiervan binnen uw gehele organisatie is dus erg belangrijk.

Wat kunt u doen?

Privacy is niet langer een puur technische aangelegenheid. Uw beveiliging is net zo sterk als de zwakste schakel. Wanneer uw werknemers onvoldoende bekend zijn met de methodes en risico’s, is een menselijke fout snel gemaakt. Om dat te voorkomen kunt u verschillende dingen doen:

  1. Simuleer een aanval
    Een simulatie kan zeer effectief werken. Door een aanval te simuleren en op die manier uw werknemers te confronteren met hun gedrag kunt u de bewustwording stimuleren en heel gericht uw privacybeleid binnen uw organisatie verbeteren. Beveiliginsincidenten kunnen direct gesignaleerd worden, en u kunt met de betreffende medewerkers een plan van aanpak opstellen, om herhaling van fouten te voorkomen.
  2. Deel beveiligingsincidenten binnen uw organisatie
    Wees open over beveiligingsincidenten. Wanneer uw medewerkers in staat zijn om elkaar tijdig te informeren over mogelijke incidenten, is er een grotere kans dat u tijdig kunt ingrijpen. Het is vooral belangrijk dat u een cultuur creëert waarin mensen zich zeker genoeg voelen om dit te melden. Een fout is menselijk, en zo moet daar ook op gereageerd worden. U heeft er immers geen belang bij dat uw medewerkers een incident niet durven te melden, omdat er een angstcultuur is ontstaan door de dreiging van consequenties wanneer men zich niet aan de protocollen heeft gehouden. Het is de taak van de manager of privacy functionaris om mensen op een goede manier hierin te begeleiden.
  3. Security Awareness programma opzetten
    Om ervoor te zorgen dat privacy niet een éénmalig agendapunt is wat bij de volgende vergadering al nauwelijks meer aan de orde komt, is het aan te raden om een Security Awareness programma op te zetten. “Een wat?”
    In dit Security Awareness programma benoemt u de risico’s voor uw organisatie en maakt u de kwetsbare punten voor alle werknemers inzichtelijk. Het doel is om alle nieuwe en oude werknemers te informeren over privacy binnen uw organisatie. Door het programma periodiek te actualiseren en te herhalen blijft de kennis binnen uw organisatie up to date, en is er gelegenheid om binnen uw organisatie deze kennis te delen.
  4. Test het privacybewustzijn tijdens de sollicitatie
    De HRM-afdeling binnen uw organisatie kan bij de selectie al aandacht besteden aan dit onderwerp. Daarbij kunt u ook direct ontdekken in hoeverre kandidaten het belang van een goed privacybeleid kunnen inschatten. Afhankelijk van de functie kunt hiernaar vragen. Een mogelijkheid is bijvoorbeeld tijdens het gesprek gericht een casus te geven, en te vragen hoe de persoon hiermee om zou gaan.
    Twee voorbeelden die zich hiervoor goed lenen:

    1. Je wilt een nieuwsbrief versturen. Hoe ga je te werk? Waar let je op?
    In dit geval mag u op z’n minst verwachten dat iemand het verschil tussen CC en BCC benoemt. Zo niet, dan weet u dat deze persoon extra voorlichting nodig heeft.

    2. Er wordt voor de deur een USB stick gevonden, wat doe je ermee?
    Een USB-stick leent zich erg goed om nietsvermoedende slachtoffers te duperen. Deze truc wordt vaak toegepast omdat men ervan uitgaat dat de USB-stick in een computer wordt gestopt om de eigenaar ervan te kunnen achterhalen. Echter, niets is minder waar. Zonder dat u het merkt wordt de computer geïnfecteerd en kan een cybercrimineel ongestoord zijn slag slaan.

  5. Beoordeel uw werknemers op hun privacybewustzijn
    Ook voor bestaande werknemers is het belangrijk om hun kennis en bewustzijn te toetsen. Mocht blijken dat een werknemer onvoldoende op de hoogte is, dan moet worden uitgelegd wat er van die persoon wordt verwacht.
  6. Bewaar persoonsgegevens niet langer dan noodzakelijk
    Het bewaren van vertrouwelijke informatie over klanten of werknemers die niet meer bij u klant of in dienst zijn, geeft u de verantwoordelijkheid over deze gegevens. Wanneer deze voor uw organisatie niet meer van belang zijn kunt u deze dus beter verwijderen. Mocht u de gegevens willen gebruiken voor bijvoorbeeld statistische doeleinden, zorg er dan voor dat de data is geanonimiseerd en eventueel geabastraheert.

Wet meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze houdt in dat organisaties een datalek binnen 72 uur moeten melden bij de Autoriteit Persoonsgegegevens (AP).

De meldplicht is pas van kracht wanneer enkele voorwaarden van toepassing zijn:

  1. Er moet een beveiliginsincident hebben plaatsgevonden; denk bijvoorbeeld aan diefstal van een USB-stick of laptop of het hacken van uw website;
  2. Persoonsgegevens verloren zijn gegaan of als u vermoedt dat iemand zich toegang heeft kunnen verschaffen tot persoonsgegevens;
  3. Onrechtmatige bewerkingen van de persoonsgegevens redelijkerwijs niet valt uit te sluiten;
  4. Persoonsgegevens van gevoelige aard; het kan gaan om wachtwoorden en gebruikersnamen; medische of fincanciële gegevens; of andere gegevens die voor de betrokkenen ernstig nadelige gevolgen zouden kunnen hebben.
  5. Een datalek hoeft alleen gemeld te worden als de gegevens onversleuteld (encrypted) zijn opgeslagen.

Wanneer zich een incident heeft voorgedaan, is het belangrijk om de activiteiten op uw netwerk goed inzichtelijk te hebben. Door bijvoorbeeld logboeken te gebruiken om alle handelingen van de gebruikers te volgen, kunt u misbruik sneller detecteren, terugdraaien, oplossen en beter beveiligen. In veel gevallen is het forensisch onderzoek niet mogelijk doordat organisaties onvoldoende zijn voorbereid. U bent als organisatie daar zelf voor verantwoordelijk.

Tot slot

Cybercriminaliteit is in de afgelopen decennia enorm toegenomen. Geen enkele organisatie is gevrijwaard van de risico’s van een cyberaanval. Daarom is het belangrijk om open te zijn over deze risico’s. Door uw medewerkers goede voorlichting te bieden over beveiligingsmaatregelen, incidenten en risico’s stimuleert u het privacybewustzijn.
De HRM afdeling kan veel doen bij het toetsen van de kennis binnen uw organisatie, en in samenwerking met de privacy functionaris een plan van aanpak opstellen om de kennis blijfend te actualiseren. Door goed te luisteren naar de aanbeveling van de privacy functionaris krijgt uw organisatie ook de passende tools, om beveiligingsincidenten sneller op te sporen. Belangrijk is daarbij wel dat de privacy functionaris zijn werk goed kan doen, en niet niet verzeild raakt in een bureaucratische discussie tussen verschillende afdelingen.