Zodra klanten en leveranciers online hun gegevens achterlaten, ben je als bedrijf verantwoordelijk voor de veilige verwerking daarvan. Maar hoe moet dit en waar dien je op te letten? De Algemene Verordening Gegevensbescherming (AVG) bepaalt hoe we moeten omgaan met persoonsgegevens. Maar deze privacywetgeving valt lastig uit te voeren, er zitten veel haken en ogen aan.
Beveiligen van persoonsgegevens: geen makkie
Joseph Kakisina, commercieel product manager bij KPN Security, beaamt dat de AVG geen makkie is. Er komt heel wat bij te kijken, want persoonsgegevens zijn niet alleen namen en telefoonnummers, maar alle data die zijn te herleiden naar een natuurlijke persoon. En dat zijn er heel wat. De wet stelt strenge eisen aan de verwerking van die gegevens. Alle digitale persoonsgegevens die binnenkomen, worden sowieso verwerkt. Als zo'n gegeven in de administratie terecht komt of in een mailinglijst heet dat al een verwerking.
Onderzoeker Brenno de Winter zet in zijn boek Survivalgids voor de Digitale Jungle helder de spelregels hiervoor uiteen. Een verwerking moet rechtmatig, proportioneel en transparant zijn. Bedrijven die gegevens verwerken, moeten bij de toezichthouder Autoriteit Persoonsgegevens (AP) kunnen bewijzen dat aan de AVG wordt voldaan. De Winter: ‘Dat bewijs lever je met een goede documentatie. Ook moet goed gebruik worden gemaakt van systemen zoals het AVG-verwerkingsregister.’
Zo verwerkt KPN persoonsgegevens veilig
Kakisina vertelt hoe KPN met de het beveiligen van persoonsgegevens omgaat. 'We krijgen heel veel persoonsgegevens van klanten binnen. Hierbij wordt onderscheid gemaakt tussen gevalideerde informatie en zelfverklaarde informatie.' De informatie die wordt gevalideerd, staat meestal in officiële registers zoals de Basisregistratie Personen (BRP). Die gegevens worden meestal verkregen door identificatie met een paspoort of rijbewijs. Kakisina: 'We moeten daartoe een verklaring afgeven waarom we die gegevens nodig hebben. Een veel voorkomende reden is dat de klant van KPN een dienst wil afnemen. De gegevens mogen alleen worden gebruikt voor een bepaald doel, je kan niet zomaar later besluiten de data voor een ander doel aan te wenden. Juridisch heet dit doelbinding.'
Daarnaast schrijft de AVG dataminimalisatie voor. Kakisina legt uit: 'Je hoeft niet alles te weten. Soms is het bijvoorbeeld niet nodig iemands leeftijd te weten. Bij een betrouwbare bron is het voldoende te vragen of die persoon ouder is dan 18 jaar. Met die gevalideerde informatie doen we zo min mogelijk, alles blijft in principe binnen het bedrijf. We geven die informatie niet zomaar weg aan derden, zelfs intern is het doorgeven van gegevens aan strikte regels gebonden. Medewerkers moeten dus goed nadenken welke gegevens ze wel of niet mogen verspreiden naar andere afdelingen.
Lees meer over passende maatregelen om de AGV toe te passen.
Versleuteling van aangeleverde persoonsgegevens
Als klanten zelf gegevens aandragen, wordt die informatie zorgvuldig bewaard. Vaak vindt versleuteling plaats als dat mogelijk is. Zonder toestemming van de gebruiker of van degene van wie de informatie is worden geen gegevens aan een derde partij doorgegeven. Altijd zal er sprake zijn van een terugkoppeling. De betrokkene wordt op de hoogte gesteld van de instantie die de informatie opvraagt en de reden daartoe. Kakisina: ’Leg het hoe en waarom uit.’ Dit consent management zit standaard in de applicatie ingebouwd.
Bij privacy komt ook veel techniek om de hoek kijken. Het verwerken van persoonsgegevens is niet zonder risico. Kakisina: 'Denk aan datalekken.' Die kunnen een enorme omvang hebben. Bij de hotelketen Starwood werden van 339 miljoen klanten de gegevens geroofd. Alleen al in Engeland kreeg het moederbedrijf Marriott daarvoor een boete van 100 miljoen pond. Volgens de General Data Protection Regulation (GDPR) zijn bedrijven verantwoordelijk voor de persoonsgegevens die onder hun hoede zijn. British Airways kreeg voor een soortgelijk lek een boete van 183 miljoen pond. In beide gevallen werd de bescherming van data onvoldoende geacht.
Cybersecurity is belangrijkste beveiliging
'Cybersecurity is dus erg belangrijk', concludeert Kakisina, 'Check regelmatig je systemen op kwetsbaarheden. En zorg voor een uitgebreide ring van apparatuur en software om indringers tegen te houden. Als een poging tot inbraak wordt gedaan moeten er belletjes gaan rinkelen. Wapen je tegen massale DDoS-aanvallen opdat systemen beschikbaar blijven en data niet kunnen weglekken. Vanuit het oogpunt van privacybescherming is ook de monitoring van systemen belangrijk. Als vanuit een bepaalde afdeling of locatie plotseling heel veel informatie wordt opgevraagd, moet een alarmbel gaan rinkelen. Het is zaak alert te zijn op onverklaarbare afwijkingen in patronen. Als vanaf een buitenlocatie ineens heel veel op systemen wordt ingebeld kan dat een veeg teken zijn. Probeer ook zo veel mogelijk persoonsgegevens van encryptie te voorzien. Detectie van indringers is één ding, bescherming is de volgende stap. Maak medewerkers ook bewust van de gevaren. Als een verzoek om persoonsgegevens verdacht overkomt, vraag dan een collega om raad. Bij grote twijfel kan het nooit kwaad de juridische afdeling of security te bellen.'
De AVG geeft de persoon die gegevens verstrekt ook rechten. Behalve het eerder genoemde recht op informatie is er ook een recht op inzage. De mogelijkheden hiertoe zijn aanzienlijk verruimd. Bedrijven moeten zo'n inzageverzoek kunnen behandelen. Brenno de Winter: “Als gegevens niet kloppen, er niet toe doen of verkeerd worden gebruikt, kan de betrokkene bezwaar maken.' Dit is het rectificatierecht. Verder kent de AVG het recht op dataportabiliteit. De klant kan een aantal gegevens opvragen die over hem zijn bijgehouden. Als hij bijvoorbeeld van autoverzekering wil veranderen, heeft het zin om het aantal schadevrije jaren op te vragen. Het vergeetrecht biedt de mogelijkheid verouderde gegevens te laten schrappen. Bedrijven kunnen ook te maken krijgen met klanten die een beroep doen op het recht van bezwaar. Dit geldt vooral bij direct marketing en bijzondere omstandigheden. Veel bedrijven worstelen nog met de vraag hoe ze het beste aan zulke claims tegemoet kunnen komen zonder dat hun normale bedrijfsactiviteiten te veel worden beperkt. Kakisina besluit: 'De AVG is qua handhaving en uitvoering behoorlijk complex, zeker op dit soort onderdelen.' Alle reden dus om deze wet veel aandacht te geven.
Meer weten?
Kijk hier voor meer informatie over bescherming van privacy op kpn.com of neem contact met ons op.
Tip: Word door verschillende topsprekers bijgepraat over cybersecurity tijdens het NLSecure[ID]-event. Op 25, 26 en 27 januari 2022. Schrijf u gratis in.