Datamanagement: wet- en regelgeving en de GDPR

Paul Hilgers

Hierbij de tweede blog over datamanagement (lees deel 1 hier). In deze blog zal dieper ingegaan worden op de onderwerpen wet- en regelgeving en de GDPR.

Wet- en regelgeving

De belangrijkste interne eisen worden bepaald door onderlinge afspraken tussen (intern) klanten en leveranciers. Onder leveranciers kunnen we de interne IT afdeling verstaan, maar ook hostingproviders en leveranciers van clouddiensten. Veel van deze afspraken worden bepaald door de continuïteit van toepassingen die benodigd zijn voor de bedrijfsvoering. Deze afspraken worden vastgelegd in zogenaamde Service Level Agreements (SLA’s).

Per organisatie en toepassing kunnen deze SLA’s afwijken, maar vaak zijn deze aan te passen om binnen een aantal standaard gedefinieerde richtlijnen te passen. Wet- en regelgeving daarentegen is leidend voor retentie en hersteltijden. In sommige gevallen leidt het niet voldoen hieraan tot strafmaatregelen. Het niet voldoen aan een SLA kan zich uiten in een ingebrekestelling en/of geldboetes.

De gemeentewet schrijft bijvoorbeeld voor dat gemeenten binnen 48 uur hun kritische primaire dienstverlening richting burgers weer operationeel hebben na een calamiteit. Dat lijkt lang, maar bedenk dat bij brand of corruptie van data veel factoren van belang zijn om weer operationeel te zijn. Voorbeelden van factoren zijn levering nieuwe hardware, herinrichten van systemen, herstellen van een back-up, testen en weer opstarten. Dan kan 48 uur best krap zijn.

Wanneer het over retenties gaat heeft het vooral gevolgen voor de maximale of minimale bewaartermijn van data. Dus ook om data die meegenomen wordt in de back-up of is opgeslagen in applicaties en archieven. Veel data heeft een minimale bewaartermijn. Medische gegevens dienen bijvoorbeeld minimaal tien jaar bewaard te worden, maar in sommige gevallen ook 15 jaar of zelfs 115 jaar. Financiële gegevens hebben een minimale bewaartermijn van zeven jaar voor o.a. de belastingdienst, maar sommige gegevens dienen weer tien jaar bewaard te worden. Daarnaast hoeft niet alle informatie bewaard te worden.

Er is ook data die een maximale bewaartermijn heeft. Sollicitatiebrieven bijvoorbeeld vier weken, bepaalde personeelsinformatie maximaal twee jaar (na uitdiensttreding) en camerabeelden vier weken (tenzij een strafbaar feit op beeld staat). Logbestanden geven aan wat er op systemen gebeurt en mogen maar zes maanden bewaard worden. Vaak worden maximale en minimale bewaartermijn in toepassingen afgedwongen, maar de retentie van een back-up wordt dat vaak vergeten.

Datamanagement is daarom erg belangrijk. Weten waar je data staat en op welke niveaus SLA’s en wet- en regelgeving worden afgedwongen. Het is daarom van belang om per applicatie inzicht te hebben en de verantwoordelijkheden vast te leggen. Met een verschuiving van sommige toepassingen naar cloudoplossingen is het nog belangrijker geworden. Niet iedere clouddienst zorgt binnen de eigen SLA’s voor het naleven van Nederlandse wet- en regelgeving. Uiteindelijk is de organisatie die de dienst afneemt verantwoordelijk voor de eigen data.

Omgang met persoonsgegevens, GDPR en AVG

Voor organisaties die gebruik maken van persoonsgegevens is de nieuwe Europese richtlijn GDPR (Regulation EU 2016/679) van kracht. In de Nederlandse wetgeving wordt dit de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze AVG is misschien beter bekend onder de (nationale) voorganger, de “wet meldplicht datalekken”. De nieuwe wet treedt per 25 mei 2018 in werking en legt zaken vast rondom de verwerking van persoonsgegevens. Eigenlijk is de wet al in 2016 van kracht gegaan, maar organisaties hebben twee jaar de tijd gekregen om de richtlijnen behorende bij deze wet te implementeren. Natuurlijk hadden we al wetgeving rondom persoonsgegevens, maar nu zijn ook meer zaken als aansprakelijkheid en boetes vastgelegd. Tevens dient de organisatie bewijzen te kunnen aanleveren over wat men gedaan heeft om een datalek te voorkomen. Risico’s moeten in kaart gebracht zijn, technische- en organisatorische maatregelen moeten ingeregeld zijn en periodiek dient gecontroleerd te worden of de maatregelen voldoende nageleefd worden.

Een datalek is in basis de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van de organisatie. Daaronder valt ook onrechtmatige verwerking van persoonsgegevens. De meest logische voorbeelden zijn het verlies van USB-sticks, inbraak door een hacker en een gestolen laptop. Maar, ook het verkopen of aanpassen van gegevens zonder toestemming van de persoon.

Wat kunnen we allemaal verstaan onder persoonsgegevens? Het gaat hierbij om alle informatie die ervoor zorgt dat een persoon geïdentificeerd kan worden. Denk aan adres, telefoonnummers, sociale gegevens, BSN-nummer, kenteken, ras, godsdienst, gezondheid, en ga zo maar door.  

Overheidsinstanties zoals gemeenten maar ook zorginstellingen beheren vanuit ieders takenpakket vanzelfsprekend veel persoonlijke gegevens van inwoners, waaronder informatie over werk, inkomen en zorg. Daarom moet iedereen erop kunnen vertrouwen zorgvuldig met deze gegevens omgaan.

Dergelijke informatie staat in heel veel documenten, toepassingen en systemen opgeslagen. Dat mag natuurlijk, maar er gelden vanuit de GDPR wel een paar principes over het opslaan van de gegevens:

  • De persoon is op de hoogte dat de gegevens zijn opgeslagen en geeft toestemming
  • De gegevens worden alleen verzameld voor het doel en niet verder gebruikt
  • Alleen de noodzakelijke gegevens worden verzameld
  • Gegevens zijn en blijven correct en worden niet langer opgeslagen dan voor het doel noodzakelijk
  • Gegevens worden beschermd tegen oneigenlijke toegang, verlies en vernietiging
  • De organisatie moet kunnen aantonen dat het aan de regels voldoet

Al met al vraagt deze wet een goed inzicht in aanwezige informatie en data binnen de organisatie en veel verschillende technische en organisatorische maatregelen. Het is ook verplicht in veelvoorkomende gevallen om een persoon aan te wijzen die intern toezichthouder is. Deze persoon wordt een functionaris gegevensbescherming (FG genoemd). Bedenk dat bestuurders van organisaties vanaf mei 2018 aansprakelijk gesteld kunnen worden en boetes oplopen tot 4% van (wereldwijde) jaaromzet of 20 miljoen.

Hoe nu verder?

Data groeit en we slaan steeds meer data op. Wet- en regelgeving vereist nieuwe inzichten in datamanagement. We kunnen en mogen niet zomaar alles bewaren. Het is daarom van belang om nu naar data binnen de omgeving te kijken. Wat is op applicatieniveau geregeld en wat moet geregeld worden binnen de infrastructuur. Welke data mag ik nog wel bewaren en welke moet weggegooid worden. Maar ook welke data heb ik nodig om te kunnen aantonen dat ik aan de GDPR voldoe. Welke systemen hebben we nodig om snel en adequaat een datalek te constateren, voorkomen en te melden.

Een aantal stappen die snel gemaakt kunnen worden, kunnen samen met PQR opgepakt worden. Denk aan encryptie van devices en data, het analyseren van fileomgevingen, bepalen van RTO/RPO en retentie van data binnen de infrastructuur en oplossingen voor het analyseren van logbestanden. Vanzelfsprekend had al begonnen kunnen worden met het nemen van maatregelen, maar zo niet dan zijn organisaties nu nog niet te laat.

Meer informatie? Neem contact met ons op of schrijf u in voor IT Galaxy!

>>> meer blogs