Hoe de GDPR impact heeft op uw overheidsorganisatie

Vanaf 15 mei 2018 gaat de nieuwe richtlijn rondom de bescherming van onze persoonsgegevens in; de zogeheten GDPR gaat van kracht. In de Nederlandse wetgeving wordt dit de Algemene Verordening Gegevensbescherming (AVG) genoemd en dit heeft grote gevolgen voor alle activiteiten rondom de beveiliging van IT-bronnen. Verwerkers van privacygevoelige persoonsgegevens moeten op de hoogte zijn van de komende GDPR-richtlijnen. Gemeenten hebben meer dan ooit informatie over personen opgeslagen. Een goed informatiebeleid is dan ook een vereiste. Bent u als gemeente al compliant of weet u welke acties u nog moet ondernemen om niet in de problemen te komen?

Impact op manier van werken

De invoering van GDPR /AVG raakt de manier waarop we (samen)werken en communiceren. Bij PQR geloven we dat ‘werk’ iets is wat je doet, niet iets waar je naar toe gaat. Toegang krijgen tot applicaties vanaf meerdere (ook onbekende, dus vaak onveilige) locaties is daarvoor een vereiste. Steeds vaker gebruiken we hiervoor ook verschillende apparaten om ons werk te doen. Het lezen van mail op een (persoonlijke) telefoon is gemeengoed.  Stukken voor een raadsvergadering worden voorbereid op een tablet. Het creëren van content gebeurt veelal nog, vanwege het gemak van een muis en toetsenbord, vanaf laptop of PC. Het gebruik van verschillende apparaten maakt dat medewerkers productiever zijn, en als IT hier niet in voorziet dan treedt het gevaar op dat medewerkers het zelf gaan regelen. IT dient bewustzijn te creëren in de organisatie dat privacygevoelige informatie op een veilige wijze verwerkt moet worden. IT heeft daarnaast de mogelijkheden om medewerkers daar op een technische manier in te ondersteunen.

Verlies van data komt niet uitsluitend door hackers of cybercriminaliteit. Medewerkers kiezen soms onbewust voor productieve platformen waarbij in de genomen keuze niet de juiste overwegingen worden gemaakt rondom geldende wet- en regelgeving.

Steeds meer gemeenten streven ernaar ‘dicht bij de burger’ te willen staan. IT ondersteunt daarin door ‘altijd en overal’ werken mogelijk te maken, bijvoorbeeld door het verstrekken van laptops of mobiele apparaten, zoals tablets en smartphones. Echter, bij verlies of diefstal van het apparaat kan onrechtmatig toegang verkregen worden tot de data op het apparaat. Volgens GDPR/AVG moet een ‘passende’ maatregel worden genomen om onrechtmatig gebruik van persoonsgegevens te voorkomen. Door het gebruik van Unified Endpoint Management (UEM) oplossingen, zoals Microsoft Intune / VMware Airwatch of Citrix XenMobile, kan een apparaat versleuteld en vanaf afstand gewist worden. Let wel, de medewerker moet wel melding maken van het verlies van het apparaat!

Technologie ondersteunt, processen zijn leidend

Volgens GDPR/AVG-richtlijnen mogen persoonsgegevens niet langer dan noodzakelijk bewaard worden. Denk hierbij aan sollicitatiebrieven; brieven van afgekeurde kandidaten moet na 4 weken verwijderd zijn uit de systemen. Vanuit technologie kunnen we beperkt controleren of dit daadwerkelijk gebeurt. Stel maar eens voor dat een HR-medewerker per e-mailbijlage een CV meestuurt. De manier waarop deze informatie gedeeld wordt, moet daardoor ook veranderen. Zo’n CV kan bijvoorbeeld worden opgeslagen op een Sharepoint Online-teamsite waar documenten na een gedefinieerde periode verlopen en daarmee verwijderd worden. Toegang tot dit document wordt dan geregeld door het delen van een unieke link (naar het document) in plaats van het daadwerkelijke document mee te sturen.

Dit vereist dus ook training van uw medewerkers.

Toch dient de IT-afdeling een aantal maatregelen te nemen zonder directe impact voor de medewerkers. Bij een eventueel datalek zal de IT-afdeling voldoende informatie moeten aanleveren over de impact van het datalek. Welke systemen zijn geraakt, welke data is gelekt, wanneer is het gebeurt en hoe is het ontstaan. Een Security Information and Event Management (SIEM) systeem kan daarbij ondersteunen. Een goed SIEM-systeem verzamelt/ontvangt van alle infrastructuurcomponenten informatie en kan relaties leggen tussen gebeurtenissen. Zonder een dergelijk hulpmiddel is het vrijwel onmogelijk een volledige analyse te doen van een datalek, laat staan dat de lek zelf wel gedetecteerd wordt of een rapportage binnen de wettelijk termijn opgesteld kan worden.

Andere logische maatregelen zijn het afdwingen van 2factor-authenticatie, het up-to-date houden van systemen en applicaties of toepassen van netwerksegmentatie zoals mogelijk is met VMware NSX. Mocht een systeem dan gecompromitteerd zijn dan wordt de aanval in de kiem gesmoord en wordt voorkomen dat er grotere schade wordt aangericht.

GDPR-richtlijnen

Vanuit de GDPR geldt een aantal principes over het opslaan van de gegevens. Het is belangrijk dat uw processen en applicaties zodanig zijn ingericht dat deze principes gehandhaafd kunnen worden:

  • De persoon is op de hoogte dat de gegevens zijn opgeslagen en geeft toestemming;
  • De gegevens worden alleen verzameld voor het doel en niet verder gebruikt;
  • Alleen de noodzakelijke gegevens worden verzameld;
  • Gegevens zijn en blijven correct en worden niet langer opgeslagen dan voor het doel noodzakelijk;
  • Gegevens worden beschermd tegen oneigenlijke toegang, verlies en vernietiging;
  • De organisatie moet kunnen aantonen dat het aan de regels voldoet.

Kortom, u kunt als gemeente, vragen van burgers verwachten als “Hoe gebruikt u mijn gegevens?”, “Welke gegevens heeft u over mij verzameld?” of “Wilt u mij verwijderen uit jullie systemen?”.  Weet goed daarop te reageren na 25 mei 2018 en aan te kunnen geven wat wel of niet mogelijk is.

Mijn data staat in de cloud en daarmee ben ik dus compliant. Of toch niet?

Adoptie van cloudtoepassingen, zoals Microsoft Azure / Office 365, betekent niet dat u automatisch gevrijwaard bent van uw verantwoordelijkheid. U blijft altijd eigenaar van uw data en daarmee verantwoordelijk voor een veilige verwerking van de informatie. Het is nog altijd nodig goede afspraken te maken met een cloudleverancier over de opslag en beveiliging van uw gegevens. Bij onrechtmatig toegang tot data wordt de bestuurder van uw organisatie aansprakelijk gesteld.

GDPR is een belangrijk thema voor 2018

Wilt u nu meer informatie over GDPR en hoe PQR u hierin kan ondersteunen? Neem dan contact op met uw accountmanager!

>>> meer blogs