De AVG komt eraan
Op 25 mei 2018 is het dan zover, vanaf dat moment is de Algemene verordening gegevensbescherming (AVG) van kracht. De AVG gaat over de verwerking van persoonsgegevens. Niet iedereen is zich hiervan bewust, maar ook in IA-systemen vindt vaak verwerking van persoonsgegevens plaats. De AVG heeft dus ook impact op uw IA-systemen. In dit artikel beschrijf ik voor u een zestal stappen waarmee u zelf kunt bepalen of de IA in uw organisatie AVG-bestendig is.
Wat zijn nu eigenlijk persoonsgegevens binnen de IA?
Zoals gezegd verwerken IA-systemen ook persoonsgegevens. In sommige gevallen is dit heel duidelijk. Denk bijvoorbeeld aan de naam van een persoon in een logbestand of het telefoonnummer van een storingsmonteur. Maar denk ook aan camerabeelden waarop personen duidelijk herkenbaar in beeld zijn.
Persoonsgegeven:
Ieder gegeven dat direct of indirect naar een persoon is te herleiden.
In sommige gevallen is het minder evident dat er sprake is van persoonsgegevens. Denk hierbij bijvoorbeeld aan het IP-adres van een SCADA-client in een logbestand. Zo op het eerste gezicht lijkt dit geen persoonsgegeven, het IP-adres hoort immers niet bij een persoon, maar bij een computer. Maar combineer het IP-adres met een dienstrooster en het is opeens mogelijk om te achterhalen wie op welk moment bepaalde handelingen op de SCADA-client uitvoerde. Daarmee voldoet het IP-adres toch aan de definitie van een persoonsgegeven.
Wat betekent de AVG voor IA-systemen?
De AVG gaat vooral in op de verwerking van persoonsgegevens. In de praktijk is al snel sprake van het verwerken van persoonsgegevens. De AVG ziet het opslaan van een persoonsnaam in een logbestand al als een verwerking. De AVG is dus al snel van toepassing en is dus ook van toepassing op IA-systemen. Ook IA-systemen zullen dus moeten voldoen aan de eisen uit de AVG. De AVG stelt met name eisen aan het doel van de verwerking, de termijn van bewaren en de beveiliging van de persoonsgegevens.
Verwerking:
Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Denk hierbij onder andere aan vastleggen, ordenen en raadplegen. Maar ook vernietigen is vorm van verwerking persoonsgegevens.
Hoe maak ik mijn IA-systemen AVG-bestendig?
Maar de vraag die nu bij u opkomt is waarschijnlijk: Hoe zorg ik er nu voor dat mijn IA-systemen AVG-bestendig zijn? Ik zal proberen u te helpen met het zetten van de eerste stappen.
Stap 1: De meeste organisaties hebben al nagedacht over de impact van de AVG op de organisatie en hebben een Functionaris voor Gegevensbescherming (FG) aangesteld. Vraag bij de FG na wat het beleid is op het gebied van persoonsgegevens en stel de vraag of ook nagedacht is over persoonsgegevens in IA-systemen.
Stap 2: Maak een inventarisatie van de persoonsgegevens binnen de IA. Ga na welke persoonsgegevens aanwezig zijn in uw IA-systemen.
Stap 3: Bepaal het doel van de verwerking van deze gegevens en leg dit vast. Gegevens alleen maar bijhouden omdat het kan staat AVG niet toe. Waarom is het nodig dat het IA-systeem bepaalde gegevens bijhoudt? Een voorbeeld; in geval van een incident is het noodzakelijk te weten welke operator het systeem heeft bediend en welke acties hij/zij heeft uitgevoerd. Daarom is het opslaan en bewaren van een audit-trail/gebeurtenissen-log nodig.
Stap 4: Bepaal de maximale bewaartermijn van de gegevens. Hoelang moeten bepaalde gegevens worden bewaard? De AVG eist dat gegevens niet langer worden bewaard dan strikt noodzakelijk.
Stap 5: Zorg voor een goede beveiliging van de persoonsgegevens. Zorg ervoor dat alleen bevoegden toegang hebben tot de gegevens en stuur niet zomaar een bestand met persoonsgegevens de wereld in, zonder dat hierover goede afspraken zijn gemaakt.
Stap 6: Neem de verwerking van persoonsgegevens mee in de selectie van leveranciers en softwarepakketten. Neem in de contracten met leveranciers eisen op die betrekking hebben op de omgang met persoonsgegevens. Denk hierbij aan eisen aan de beveiliging en vertrouwelijkheid. Selecteer softwarepakketten die kunnen omgaan met de eisen uit de AVG. Kies bijvoorbeeld een pakket dat het mogelijk maakt om logbestanden af te schermen voor onbevoegden.
Met deze stappen ben ik ervan overtuigd dat het leeuwendeel van uw IA-systemen AVG-bestendig is. Heeft u hulp nodig bij het doorlopen van de stappen, advies bij het oplossen van knelpunten of aanvullende vragen mag u mij natuurlijk bellen of e-mailen. Samen met mijn collega’s help ik u graag.
Marijn Brans
T: +31 6 31 76 2001