PrivacyByDesign

Privacy by Design

Iedereen is ondertussen wel bekend met de Algemene Verordening Gegevensbescherming, of AVG in het kort. In dit blogartikel willen we kijken naar het begrip “Privacy by Design”. We geven een korte introductie en kijken dan wat dit in de praktijk betekent voor je organisatie. Het begrip is bedacht in het begin van de jaren 90 door Ann Cavoukian, destijds informatie en privacy commissaris in Ontario, Canada. Ondertussen is het begrip ook opgenomen als een verplichting in de AVG (Art. 25 AVG).


Maar wat is Privacy by Design dan?

De AVG stelt dat organisaties die persoonsgegevens verwerken passende technische en organisatorische maatregelen moeten treffen (Overweging 78, AVG). Dit wil zeggen, je organisatie en systemen zo inrichten dat er standaard een zo goed mogelijke bescherming van persoonsgegevens aanwezig is. Helaas is de AVG wel wat vaag over wat die maatregelen exact moeten inhouden. Begrijpelijk natuurlijk, want wie weet welke technische innovaties er nog aan komen. Privacy by Design, samen met Privacy by Default, moeten er in elk geval voor zorgen dat privacy niet iets is dat achteraf wordt toegepast, maar een integraal onderdeel is van een organisatie én van diens systemen. Al vanaf het ontwerp.

 

Privacy by Default betekent niets meer of minder dan dat je altijd uit moet gaan van de meest strikte privacy instellingen. Sla geen gegevens op die je niet nodig hebt (datamimalisatie), sla geen gegevens op waarvoor je geen doel (art 5 lid 1b avg) en wettelijke grondslag hebt (art. 6 lid 1 a-f AVG), ga er bij twijfel van uit dat je géén toestemming hebt. In de praktijk betekent het dat je eerst naar het doel zoekt dat niet gebaseerd is op toestemming. Mocht dit niet lukken en toestemming zou een acceptabel doel zijn, dan mag je deze kiezen.


Privacy by Design betekent dan weer dat privacy al vanaf het begin in het ontwerp van een informatiesysteem wordt meegenomen. Maar niet enkel in je mooie nieuwe softwarepakket, maar ook in alle processen hierrond. Het begrip wordt vaak genoemd bij het ontwerpen van (nieuwe) informatiesystemen. Echter kan je de scope er van veel breder zien en kun je dit ook toepassen op de processen en organisatie die ondersteund worden door deze systemen. Meer hierover verderop in dit artikel.


Privacy by Design is gebaseerd op 7 kernprincipes waarmee je rekening dient te houden bij het ontwerp van je systemen én processen. Omdat dit artikel een praktische insteek heeft gaan we niet dieper in op de inhoud van de principes. Dit is al meer dan duidelijk genoeg beschreven op het internet.


Samengevat zijn deze principes:

  1. Proactief vs. Reactief
    Beperk risico’s door vooraf na te denken en maatregelen te nemen.
  2. Privacy by default
    Zorg er voor dat systemen en processen, producten en diensten, standaard ingesteld zijn om de hoogste mate van privacy te bieden.
  3. Privacy geïntegreerd in het ontwerp
    Zorg er voor dat privacy een duidelijke plaats heeft in het ontwerp van je systemen, processen, producten en diensten en dat de nodige maatregelen al van meet af aan inbegrepen zijn.
  4. Volledige functionaliteit
    Een gebruiker moet kunnen beschikken over de volledige functionaliteit van een product of dienst, zonder dat hij hierbij aan privacy hoeft in te boeten.
  5. End-to-end beveiliging
    Zorg dat persoonsgegevens gedurende de hele levenscyclus beschermd zijn, maar ook dat deze veilig worden vernietigd als deze niet meer nodig zijn (bewaartermijnen!)
  6. Zichtbaarheid en transparantie
    Geef, waar mogelijk, betrokkenen (de persoon over wie gegevens verzameld worden) inzicht in hoe, waar, wanneer (hoe lang), en waarom hun gegevens verwerkt worden.
  7. Respect voor privacy
    Zorg er voor dat het de betrokkene zo gemakkelijk mogelijk wordt gemaakt om zijn privacy te waarborgen.

By Design… dat gaat dan toch over nieuwe systemen?

Wel: ja… en nee. Ontwerpen is iets dat je in regel doet voor een nieuw systeem. En ja, reeds bestaande systemen of ingekochte systemen kun je niet altijd nog aanpassen. Maar het kan zeker geen kwaad om alle processen en maatregelen rond je systemen nog een keer kritisch te bekijken. De AVG ontslaat je immers niet van de verantwoordelijkheid om al die passende technische en organisatorische maatregelen te nemen, enkel omdat je systeem ouder is dan de AVG. Ook je bestaande systemen zelf hebben wellicht nog opties of mogelijkheden om het standaard gedrag aan te passen.


Begin met je processen tegen de loep te houden. Zorg voor duidelijke instructies bij je medewerkers over welke gegevens wanneer verzameld moeten worden. Beschrijf bijvoorbeeld welke informatie moet vastgelegd worden en welke niet, zodat ze niet te veel informatie vastleggen bij het aannemen van een telefoon bijvoorbeeld. Maak werkinstructies als er gegevens doorgegeven moeten worden. Zowel intern, maar zéér zeker als het naar een externe partij gaat (wat de AVG een verwerker noemt). Let ook nog extra goed op als gegevens  buiten de EER gaan. Zorg dat een dergelijke werkinstructie duidelijk vermeld aan je medewerkers:

  • wat de voorwaarden zijn voor het doorgeven van de gegevens;
  • welke gegevens doorgegeven worden (geef zeker niet méér door dan strikt noodzakelijk);
  • hoe de gegevens doorgegeven moeten worden (encryptie!) (en nee, een Excel met een wachtwoord op in de mail wordt niet beschouwd als passende technische maatregel);
  • wat er moet gebeuren met de gegevens naderhand.

In je processen en werkinstructies kun je dus al heel wat borgen met betrekking tot de regels rond persoonsgegevens. Belangrijker nog, het geeft je een zekere mate van controle over de persoonsgegevens in je organisatie. Heb je je verwerkingsregister op orde? Dit kan een zeer waardevolle bron zijn om je processen te toetsen aan de doelen waarvoor je de gegevens verzameld én geeft aan of het verwerken van de gegevens rechtmatig is.


Het is ook niet onbelangrijk dat iedereen in de organisatie zich bewust is van de privacyregels, de do’s en dont’s hierrond, en dat ze de werkinstructies kennen. Om de bewustwording rond persoonsgegevens te vergroten zijn er ook verschillende trainingen beschikbaar die je aan je medewerkers beschikbaar kunt stellen. Dat kan een cursus zijn, maar ook een korte wekelijkse on-line trainer die in 10 minuten is te doorlopen. Er zijn verschillende aanbieders hiervoor on-line te vinden zoals deze van The Privacy Factory. Zo kun je voorkomen dat er onbedoeld verkeerd word omgegaan met persoonsgegevens.


Bestaande systemen

We hebben het gehad over wat je kan doen rond je bestaande systemen. Maar is er dan helemaal niets dat je met die systemen zelf kan doen? Het antwoord op die vraag hangt natuurlijk af van de mogelijkheden van deze systemen.


Veel systemen hebben bijvoorbeeld een of andere authorisatielaag. Met andere woorden: de mogelijkheid om bepaalde functies of delen van het systeem enkel toegankelijk te maken voor bepaalde gebruikers. Het is raadzaam om hier goed gebruik van te maken. Richt het zo in dat enkel die medewerkers ook toegang hebben tot die gegevens waar ze echt mee moeten werken. Het is verleidelijk om een gebruiker wat meer rechten te geven als deze voor een of andere taak hier iets mee moet doen. Maar voor je die rechten toekent, ga dan na of het ook écht nodig is dat die persoon permanent toegang heeft. Vraag je af wat het afbreukrisico is als je een bepaalde medewerker geen toegang tot de persoonsgegevens geeft. Is het niet beter als deze voor die ene taak of die sporadische activiteit zich meldt bij iemand die wel rechtmatige toegang heeft? Op die manier zorg je ervoor dat er iemand is die op de hoogte is van de juiste werkinstructies van de betreffende gegevens. Je houdt met andere woorden meer controle over welke gegevens waar plots opduiken.


Een andere veel voorkomend risico is het gebruiken van algemene accounts. Dus een login die niet aan een specifieke persoon is gekoppeld. Denk bijvoorbeeld aan een login die bekend is bij een hele afdeling en gedeeld wordt door meerdere mensen. Je hebt dan niet alleen geen zicht meer op wie toegang heeft tot wat, maar dit ondermijnt ook alle eventuele auditlogs en elke kans op het traceren van een mogelijk probleem. Je ziet met andere woorden niet meer waar iets is misgelopen.


Even een dumpje maken…

Een andere veel voorkomende functionaliteit van informatiesystemen waar een heel scala aan problemen mee kan ontstaan is de mogelijkheid om gegevens te exporteren. Iedereen kent het wel: even snel een dumpje van wat data maken om dan in Excel na te bewerken. Heel handig, maar ook heel gevaarlijk! Eenmaal de gegevens je systeem verlaten hebben ben je in essentie de controle kwijt. Wat gebeurt er met die Excel? Worden er kopieën gemaakt? Waar worden deze opgeslagen? Het kan best zijn dat je systeem waar de gegevens oorspronkelijk inzaten alles correct doet qua opslag, beveiliging en zo meer. Maar vervolgens wordt de Excel doodleuk op een USB-drive, of een niet voldoende beveiligde laptop gezet. Of erger, gewoon gemaild naar om het even wie. Denk erom, als dit gaat over wat statische info over goed verkopende producten is dit één ding. Maar er zullen maar gevoelige gegevens, zoals financiële- of gezondheidsgegevens, in staan.


Het is dus zaak om dit zoveel mogelijk aan banden te leggen. Ik zeg niet dat het niet gedaan mag worden, het kan soms nu eenmaal de enige manier zijn om iets voor elkaar te krijgen. Maar probeer er wel controle op te houden.


Het eerste dat je kan doen is het beperken van de toegang tot deze exportfuncties. Als je systeem dit ondersteund, geef dan enkel die personen toegang tot een exportfunctie die deze ook echt nodig hebben voor een gegronde reden (doelmatig) én dat die personen ook duidelijk weten wat wel en niet kan. Als andere medewerkers dan een keer een export moeten hebben, loopt het tenminste via iemand die zich bewust is van de spelregels.


Ook werkinstructies zijn hierbij wederom van onschatbare waarde. Leg daarin vast welke data mag worden geëxporteerd, wat men er mee mag doen, en zeker wat er moet gebeuren als het werk klaar is (Excelbestand wissen bijvoorbeeld).


Externe systemen en koppelingen

In het moderne informatielandschap is er een grote hoeveelheid en variatie aan systemen. En tussen die systemen worden gegevens uitgewisseld. Dit kan gaan van koppelingen tussen eigen systemen, of met systemen van derden, maar ook over cloudoplossingen (OneDrive/Google Drive bijvoorbeeld).


Waar het gaat over cloudoplossingen, maak beleid over welke gegevens bij welke cloudprovider terecht mogen komen. En zorg ook dat dit bekend is in de organisatie (werkinstructies opnieuw). Let er ook op dat cloudoplossingen vaak een internationaal karakter hebben. Dit zou dus kunnen betekenen dat je gegevens zonder dat je het weet plots buiten de EU terecht kunnen komen. Dit kan in sommige gevallen voor complicaties zorgen qua AVG. Zorg er in dat geval voor dat er voldoende waarborgen zijn: art. 45 t.m. 47 AVG.


In het geval van koppelingen tussen systemen, zeker als het om externe systemen gaat, controleer dan welke gegevens er via de koppeling worden uitgewisseld. Ga hierbij na dat er zeker niet meer gegevens worden uitgewisseld dan strikt noodzakelijk. Je kan dit aftoetsen aan je verwerkingsregister. Controleer daarbij ook of de koppeling voldoende beveiligd is, zeker als het gaat over grote aantallen persoonsgegevens of bijzondere persoonsgegevens. Zorg er ook voor dat je duidelijke afspraken hebt met de partij waar de gegevens naar toe gaan (verwerkersovereenkomst). Denk hierbij aan wat die partij met de gegevens wel en niet mag doen, hoe lang ze de gegevens mogen bewaren, enz.


Beveiliging

Een van de meest belangrijke maatregelen om te nemen zijn beveiligingsmaatregelen. Een begrip dat verder gaat dan enkel technische zaken zoals een firewall. Een aantal van deze maatregelen zijn indirect hierboven al aan bod gekomen, met name de organisatorische maatregelen. Zorg dat gegevens enkel toegankelijk zijn voor de personen die ze nodig hebben, en zorg dat het gebruik van deze gegevens duidelijk is geborgd in de processen en werkinstructies. Denk bijvoorbeeld aan het beperken van fysieke toegang tot een serverruimte, maar ook dat het opvragen van een dump van gegevens enkel via bevoegde personen gaat.


Als je kijkt naar bestaande systemen lijkt er misschien niet veel dat je kan verbeteren, maar ook hier is niets minder waar. Je kan een systeem misschien niet veranderen, maar je kan wel je netwerk zo inrichten dat er enkel toegang is tot applicaties door bevoegde gebruikers en vanaf toegelaten locaties (bijvoorbeeld enkel intern). Er is een breed scala aan technieken om je netwerk veiliger te maken, gaande van firewalls, toegangsrechten tot bestanden en netwerksegmentatie. Bij die laatste deel je je netwerk op in aparte netwerken waarbij toegang tussen deze netwerken strikt gereguleerd en beveiligd is. De mogelijkheden op dit vlak zijn gewoon te veel om hier op te noemen. Je kan daarom best contact opnemen met Xillion om de mogelijkheden van jouw situatie door te spreken.


Een laatste punt dat ik qua beveiliging nog wil vermelden zijn de vele mobiele apparaten die medewerkers tegenwoordig tot hun beschikking hebben. Hoewel deze zeer handig zijn en tegenwoordig bijna onmisbaar vormt dit ook een risico. Iedereen heeft tegenwoordig wel zijn e-mail op een telefoon of tablet. Maar vaak is er ook toegang mogelijk tot bepaalde bedrijfsapplicaties of je cloudsystemen via deze apparaten. Als een medewerker bijvoorbeeld zijn OneDrive koppelt op een telefoon is er vanaf dat toestel natuurlijk ook toegang tot alle gegevens daarop. Hou hierbij rekening dat mobiele apparaten mogelijk minder goed beveiligd zijn, verloren kunnen raken, dat er onbedoeld meegekeken kan worden in de trein of op een terrasje. Maak hier dus ook een duidelijk beleid over welke gegevens op mobiele apparaten geraadpleegd mogen worden. Het is tegenwoordig ook vaak mogelijk om toegang niet enkel in te regelen voor een gebruiker, maar ook vanaf welke apparaten. Ook hier kan Xillion de nodige expertise voorzien.


Toch een nieuw systeem!

Ga je toch een nieuw systeem kopen, bouwen of laten bouwen? Hou dan zeker vanaf het begin rekening met Privacy by Design. Denk na over welke gegevens je nodig hebt, en welke niet. Beperk je risico’s door in ieder geval niet op te slaan wat je niet nodig hebt. Maar denk ook aan beveiliging. Welke authenticatie is er nodig (wachtwoord, MFA)? Welke encryptie? Heeft het nieuwe systeem voldoende authorisatieniveaus om precies die mensen bij de gegevens te laten die ze nodig hebben en niemand anders? Waar en hoe ga je gegevens opslaan met het nieuwe systeem?


Hou ook rekening met bewaartermijnen en zorg dat deze meegenomen zijn in het systeem en dus automatisch werken. Zeker als het nieuwe systeem nog gebouwd moet worden kan het heel handig zijn om dit mee te nemen. Bewaartermijn verstreken? Het systeem zorgt dat de nodige handelingen automatisch gebeuren, zonder handmatige tussenkomst.


Tot slot

Dit artikel is geenszins volledig wat betreft praktische scenario’s en de hele scope van Privacy by Design. Maar hopelijk heeft het je wel aan het denken gezet. En nog beter, heeft het je een klein beetje op weg kunnen helpen en laten zien hoe je ook met praktische maatregelen aan de slag kan met Privacy by Design. Onthoud vooral de onderstaande punten.

  • Maak het nodige beleid zodat privacy een integraal onderdeel is van je organisatie.
  • Zorg voor duidelijke processen en bijhorende werkinstructies.
  • Zorg ervoor dat medewerkers op de hoogte zijn van het beleid, de werkinstructies en de nodige kennis hebben over het werken met persoonsgegevens (training!).
  • Zorg dat er nooit meer persoonsgegevens worden opgeslagen, opgevraagd, doorgestuurd,… dan strikt noodzakelijk.
  • Reguleer de toegang tot de persoonsgegevens zo veel mogelijk en houd er grip op waar deze zich bevinden en naar toe gaan.
  • Zorg dat de beveiliging van je netwerk, applicaties en data voldoende is voor het soort persoonsgegevens dat verwerkt wordt.

Laat je waar nodig zeker bijstaan door een specialist op het vlak van automatisering en/of de AVG. Zij kunnen je vanuit hun ervaring en kennis begeleiden in de juiste oplossingen. Aarzel niet om ons te contacteren bij vragen. Tegenwoordig gaan AVG en automatisering immers hand in hand.

Adviesgesprek aanvragen