De aankomende nieuwe privacywetgeving heeft al behoorlijk wat tumult veroorzaakt en doet dat nog steeds, zo blijkt uit vragen die wij van klanten ontvangen. Voor meer duidelijkheid, delen wij daarom graag ons antwoord op een vraag die wij onlangs van één van onze klanten ontvingen.

 

Vraag gesteld door klant over aankomende nieuwe wetgeving

Goedemorgen Rutger,

Door wat gegons in mijn omgeving, begin ik mij enige zorgen te maken. Het schijnt zo te zijn dat de privacywetgeving strenger wordt en dat dat ons, in ons vak van HR-adviseurs, dan natuurlijk ook kan raken.

Ik ga ervan uit dat persoonsgevoelige gegevens die wij bij jullie in de Cloud opslaan voldoende veilig zijn. Tenslotte komen wij er alleen bij via een wachtwoord en ook laptop/ computer vraagt eerst nog een wachtwoord. Digitaal neem ik aan dat jullie het voldoende onder controle hebben, zodat een onverlaat niet gemakkelijk bij de gegevens in de Cloud kan komen.

Een ander issue is het versturen van gegevens via de mail. Bijvoorbeeld het versturen van rapportages naar klanten. Weet jij hoe het daarmee zit? Ik begreep van een vakgenoot dat dat binnenkort niet meer is toegestaan, maar met een éénmalige link zou moeten gebeuren (nou denk ik, als je die via de mail verstuurt, heb je hetzelfde probleem. Of moet je dan weer een wachtwoord appen of sms-en of zo?).

Misschien is het iets waar jij al meer van weet, dan hoor ik dat graag. Mijn vraag is wellicht wat voorbarig, maar ik word wat onrustig door mensen in mijn omgeving die van alles hierover roepen. Kan jij mijn zorg wegnemen?

 

Het antwoord van Deltacom

Goedemorgen,

Er is op dit gebied inderdaad redelijk wat te doen en je vraag is in geen geval voorbarig. Ik zal proberen mijn antwoord kort te houden, maar ik ben bang dat ik daar niet helemaal in zal slagen.

Het is niet zo dat de privacywetgeving echt strenger gaat worden, maar er gaat wel het een en ander veranderen. Op dit moment hebben we te maken met de wet bescherming persoonsgegevens.

Op deze site van de autoriteit persoonsgegevens vind je hier alle informatie over:

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wet-bescherming-persoonsgegevens

In de bijlage stuur ik je een handleiding WBP, die opgesteld is door de Rijksoverheid. Er zitten diverse handige schema’s in, die direct antwoord geven op de vragen:

  1. Is de WBP van toepassing?
  2. Ben ik verantwoordelijke of bewerker?
  3. Is er sprake van rechtmatige verwerking?
  4. Wanneer moet ik melden?
  5. Wanneer moet ik informatie verstrekken?
  6. Wat moet ik en wat mag ik?

Ik zou zeggen, lees het eens op je gemak, het is vrij duidelijk.

De WBP is een Nederlandse uitwerking van een Europese richtlijn uit 1995. Echter is in mei 2016 een nieuwe Europese wet van kracht die “algemene verordening gegevensbescherming” (kortweg AVG) heet.

Deze wetgeving wordt meer algemeen aangeduid met General Data Protection Regulation (GDPR). Van organisaties wordt verwacht dat zij vanaf mei 2016 hun bedrijfsvoering met de AVG in overeenstemming brengen. Tot 25 mei 2018 krijgen organisaties hiervoor de tijd. Daarna mogen organisaties door iedereen op de naleving van de AVG aangesproken worden.

De GDPR is gebaseerd op de volgende principes:

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Onze rol is die van “bewerker”. Wij doen natuurlijk niets met jullie data, maar wij hebben hem wel in beheer (zie ook schema 2 uit de handleiding). Wij zijn dus medeverantwoordelijk voor de integriteit en vertrouwelijkheid van de gegevens die je bij ons in de Cloud opslaat.

Omdat jij als verantwoordelijke moet instaan voor de integriteit en vertrouwelijkheid heb je om meerdere redenen een goede keuze gemaakt voor Deltacom als partner. Een voorname is bijvoorbeeld dat wij ISO27001:2013 gecertificeerd zijn. Hiermee kunnen wij aantonen dat informatiebeveiliging bij ons de hoogste prioriteit heeft en dat wij instaan voor de beschikbaarheid, vertrouwelijkheid en integriteit van data. Ons certificaat kun je hier bekijken.

Concreet antwoord op je vraag over veilige toegang heb ik wel. Zonder 2factor-authenticatie kan iedereen middels een naam en wachtwoord bij jouw gegevens komen. Omdat mensen je wachtwoord kunnen afkijken of dit op andere manieren kunnen ontfutselen, is dit daarom niet veilig genoeg. Bij gebruik van 2factor-authenticatie heb je ook nog een eenmalig gegenereerde code nodig, die je ontvangt via sms of een app. Dit zorgt voor extra veiligheid en ik stel dus voor dat je onze helpdesk vraagt dit voor je te activeren. Verder kun je overwegen ons te vragen een bewerkersovereenkomst te tekenen, waarbij we aan elkaar beloven veilig met informatie om te gaan en elkaar op de hoogte zullen stellen bij calamiteiten als datalekken en beveiligingsincidenten.

Het zomaar versturen van gevoelige informatie via e-mail is niet verstandig. E-mail is standaard onveilig. Je kunt het sturen van informatie via e-mail eigenlijk vergelijken met gewone post; wanneer je er een enveloppe omheen zou doen, kun je het niet per mail versturen. Wanneer je het als (brief)kaart zou versturen, dan wel. Afhankelijk van het soort gegevens kun je diverse maatregelen overwegen om e-mailcommunicatie te beveiligen. In jullie geval lijkt het me afdoende om jullie rapportages als beveiligd pdf-document te verzenden, waarbij je een lang wachtwoord gebruikt in de vorm van een zin met spaties (dus bijvoorbeeld “Gisteren was Linda op tv”). Het wachtwoord stuur je dan via sms of WhatsApp.

Ik vertrouw erop je hiermee zover van dienst te zijn geweest.

Als je nog verdere vragen of opmerkingen hebt, dan weet je me te vinden.

Met vriendelijke groet,

Deltacom
Rutger de Nooij

 

Nieuwe privacywetgeving: voorbereiding, consequenties en vragen

Het deskundige team van Deltacom is volledig op de hoogte van de GDPR-wetgeving en ondersteunt u graag bij uw voorbereidingen. Samen met u inventariseren wij de consequenties van de aankomende veranderingen voor uw organisatie en adviseren u graag over het aanpassen van de huidige procedures.

Wilt u meer weten over de consequenties van de nieuwe privacywetgeving voor uw organisatie? Neem dan vrijblijvend contact met ons op: T: 0167-542254, E: info@deltacom.nl

 

Auteur blogartikel: Rutger de Nooij, Deltacom

"Als directeur van Deltacom adviseer ik bestaande en nieuwe klanten over de beste ICT-oplossingen voor hun organisatie. Deltacom is een kantoorautomatiseringsbedrijf dat bestaat uit een hecht team van professionals die allemaal werken vanuit dezelfde instelling: we staan voor volledige ontzorging van onze klanten. Daarbij gaan we een hechte samenwerking aan en werken we aan een langdurige relatie. Wanneer u onze klant bent, zijn uw ICT-problemen onze problemen. Die lossen we – Before You Know IT – voor u op. Snel, efficiënt, kostenbewust en vaak voor u er erg in hebt. Vanuit onze passie en deskundigheid regelen wij alles rond uw kantoorautomatisering. We komen daarbij met oplossingen die het beste bij u en uw organisatie passen. Dat doen we sinds 1998."

Rutger de Nooij, directeur
06 42 29 47 46,
rutger@deltacom.nl