• No results found

GDPR vereist zoeken en controleren

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "GDPR vereist zoeken en controleren"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

GDPR vereist zoeken en controleren

van Bussel, G.J.; Henseler, Hans

Publication date 2018

Document Version Proof

Published in AG Connect License Unspecified Link to publication

Citation for published version (APA):

van Bussel, G. J., & Henseler, H. (2018). GDPR vereist zoeken en controleren. AG Connect, (3), 28-31.

General rights

It is not permitted to download or to forward/distribute the text or part of it without the consent of the author(s) and/or copyright holder(s), other than for strictly personal, individual use, unless the work is under an open content license (like Creative Commons).

Disclaimer/Complaints regulations

If you believe that digital publication of certain material infringes any of your rights or (privacy) interests, please let the Library know, stating your reasons. In case of a legitimate complaint, the Library will make the material inaccessible and/or remove it from the website. Please contact the library:

https://www.amsterdamuas.com/library/contact/questions, or send a letter to: University Library (Library of the University of Amsterdam and Amsterdam University of Applied Sciences), Secretariat, Singel 425, 1012 WP

(2)

GDPR VEREIST ZOEKEN EN

CONTROLEREN

BEDRIJFS PROCESSEN MOETEN ANDERS

WORDEN INGERICHT

(3)

Veel overheden en bedrijven denken dat het met de nieuwe privacy- wet (GDPR) niet zo’n vaart zal lopen. Maar weten zij waar ze alle data bewaren? En wat ermee gebeurt? Het rondslingeren van data is een groot probleem, zeggen Hans Henseler en Geert-Jan van Bussel.

Bedrijven en overheden hebben hun information governance en informatiewaardeketen niet onder controle.

door Hans Henseler en GeertJan van Bussel beeld Shutterstock

Het ongebreideld koppelen van databestanden is voorbij

DE GDPR (GLOBAL DATA PRO- TECTION REGULATION) KOMT ERAAN. Volgens de nationale privacy- benchmark van 30 november 2017 is 80 procent van de Nederlandse bedrijven en overheden nog niet klaar voor de nieuwe privacywet; 60 procent van de bedrijven en overheden weet zelfs niet waar de gegevens van burgers of klanten zijn opgeslagen.

Overheden en bedrijven lopen achter, maar willen daar niet openlijk over praten.

Veel overheden denken, vreemd genoeg, nog steeds dat het zo’n vaart niet zal lo- pen. Bij velen leeft het beeld dat deze wet vooral wat moet doen aan data die door een incident op straat komen te liggen, bijvoorbeeld door een digitale inbraak of dataverlies door eigen medewerkers.

In werkelijkheid ligt het probleem iets in- gewikkelder. De GDPR gaat, net als de Wbp (Wet bescherming persoonsgege- vens), die al sinds 2000 van toepassing is, veel verder. Bedrijven en overheden moe- ten zich afvragen met welk doel zij over

bepaalde gegevens beschikken en in hoeverre deze gegevens ook voor andere doelen gebruikt mogen worden. Zolang organisaties niet weten waar de persoons- informatie van hun relaties, zoals klanten, patiënten, leden, abonnees en anderen, zich bevindt en wie toegang tot deze data heeft, is het lastig om te controleren hoe de gegevens worden gebruikt.

Daarbij komt dat het laten ‘rondslinge- ren’ (zie kader) van informatie meer nadelen heeft. Wat er rondslingert, zijn in bijna alle gevallen kopieën van de bron, die snel ‘verouderen’ en niet meer de actuele gegevens in de bron weerspiege- len. Het gevolg is dat medewerkers met

‘oude’ informatie werken, iets wat vooral bij persoonsgegevens nogal kwalijke ge- volgen kan hebben. Daarnaast is het voor eventuele digitale inbrekers niet moeilijk zoeken als data zich overal bevinden.

Er zijn ook voorbeelden van organisaties die de fout ingaan bij het gebruik van data die in hun bezit zijn voor doelein- den waarvoor geen toestemming is ver-

REACTIES EN BIJDRAGEN

Voor reacties en nieuwe bijdragen van ITexperts:

Henk Ester 0202356415 h.ester@agconnect.nl

(4)

eist. Vorig jaar legde de Autoriteit Persoonsgegevens nog een dwangsom op aan de gemeente Arnhem vanwege een privacyschendende afvalpas. Begin vorig jaar werd in de media uitgebreid bericht dat de Hoge Raad had geoordeeld dat de fiscus beelden van snelwegcamera’s niet mag gebruiken voor het controleren van leaseauto’s. Het ongebreideld koppelen van databestanden is dus voorbij.

EERSTE STAP

Bedrijven en overheden die zich ervan bewust zijn dat ze eigenlijk niet weten waar hun gegevens zich bevinden, doen in toenemende mate een beroep op con- sultants die E-Discovery-diensten aanbie- den. E-Discovery wordt normaal gespro- ken ingezet bij het zoeken naar digitaal

‘bewijs’ in verband met intern onderzoek of onderzoek uitgevoerd door of namens een toezichthouder. Technische E-Disco- very-tools kunnen uitstekend helpen bij het lokaliseren van privacygevoelige data in de IT-infrastructuren van bedrijven en overheden. E-specialisten doen dat door het informatielandschap van een bedrijf in kaart te brengen door middel van on- derzoek en interviews en door het door- zoeken van databases, e-mail- en fileser- vers op persoonsgevoelige data. Zij doen dit aan de hand van vooraf gedefinieerde patronen, die telefoonnummers, bankre- keningnummers, paspoortnummers of creditcardnummers kunnen herkennen.

Het identificeren van persoons- gegevens is de

eerste stap

In sommige gevallen worden zelfs geavanceerde technieken zoals ‘entity extraction’ ingezet om namen van personen te herkennen in ongestructu- reerde data.

Het in kaart brengen van het informa- tielandschap en het identificeren van persoonsgegevens door een organisatie zijn in feite de eerste stap in de voorbe- reiding op de GDPR. Deze stap levert een snapshot op van de organisatie.

Maar informatie verandert constant en mensen krijgen onder de GDRP ook het recht op inzage in en correctie van de persoonsgegevens die door een organisa- tie worden verwerkt. Ook voor dit doel kan E-Discovery-software worden ingezet als enterprise search engine, waarmee via één loket door alle verschil- lende gegevensbronnen op een uniforme wijze gezocht kan worden. Die toepas- sing is overigens niet nieuw. Met name overheidsorganisaties hebben in het verleden ook al interesse getoond in E-Discovery-technieken om zo beter (en vooral sneller) te kunnen reageren op Wob (Wet openbaarheid bestuur)-ver- zoeken. Ook in het geval van deze ver- zoeken bleek relevante informatie zich in allerlei verschillende (en vooral onver- wachte) computersystemen te bevinden.

RONDSLINGEREN

Maar met het in kaart brengen van het informatielandschap en het vinden van

ZWERF

INFORMATIE

Rondslingerende informatie (ook wel ‘zwerf

informatie’ genoemd) kan gaan om prints of USBsticks die achterblijven op de werkplek.

Of om laptops, mobieltjes of tablets die werknemers in de auto laten liggen. Bij diefstal komt bedrijfsinformatie in verkeerde handen. Het levert ook een datalek op als er persoonsgegevens bij zijn betrokken. Het gaat echter ook om ‘oude’ lijstjes die overal

te vinden zijn in spreadsheets, Word

documenten et cetera. Namen, adressen en telefoongegevens die nooit worden gecon

troleerd met authentieke registraties. Het veroorzaakt berichten aan personen die al zijn overleden. Dit is niet alleen pijnlijk voor de ontvangers, maar ook een onacceptabe

le handeling van de verzender. Denk hierbij aan emails met een bijlage met salaris en/

of klantgegevens die per ongeluk naar de verkeerde personen worden gestuurd. Maar

ook aan het delen van privacygevoelige gegevens via publieke diensten als Dropbox en WeTransfer of aan databases in websites waar klanten hun gegevens achterlaten,

aan factuur of creditcardgegevens, bewaard buiten de financiële administratie, en aan kopietjes van een paspoort die bui

ten het personeelsdossier worden bewaard.

(5)

EDISCOVERY

Op 26 april vindt het 9de Symposium EDiscovery in Nederland plaats in Leiden. Het thema dit jaar is de Global Data Protection Regulation (GDPR). Het symposium wordt georganiseerd door het lectoraat Digital Forensics

& EDiscovery van de specialisatie Forensisch ICT van de Hogeschool Leiden. Tijdens het symposium wordt ingegaan op EDiscovery

oplossingen en technieken die organisaties kunnen helpen bij het in kaart brengen van gegevens in hun organisatie, die relevant zijn in het kader van de nieuwe GDPR.

Met name de eerste fasen van het EDiscovery Reference Model, In

formation Governance en Identifi

cation, zijn relevant. Naast techni

sche EDiscoveryoplossingen wordt ook aandacht besteed aan digitaal archiveren, aan het juridi

sche spanningsveld tussen EDisco

very en de GDPR en de legitimatie voor de inzet van EDiscovery.

Voor meer informatie: hsleiden.nl/

symposiumediscovery2018.

Deelname is gratis, maar registra

tie is vereist.

de data zijn de problemen niet opge- lost. Ze kunnen dan wel ingezien, ver- nietigd, geanonimiseerd of in een be- trouwbare bron worden opgeslagen, maar dat is niet voldoende om te voor- komen dat het ‘rondslingeren’ weer be- gint. De oorzaak van het rondslingeren moet aangepakt worden, anders blijft het dweilen met de kraan open. Bedrijfs- processen moeten anders worden inge- richt, bewustzijn van goed omgaan met

van procedures inzake de verwerking van persoonlijke gegevens.

Daarmee komen we op het terrein van information governance: de wijze waar- op organisaties regels, besliskaders en verantwoordelijkheden vaststellen en onderhouden voor de effectieve creatie, de verzameling, de analyse, de distribu- tie, het gebruik, het behoud en de vernietiging van informatie. Het betreft dus de wijze waarop de informatiehuis- houding wordt ingericht om de verant- woording en de performance zo effec- tief, efficiënt en compliant mogelijk in te richten. In essentie komt het neer op het realiseren van de informatiewaarde- keten, de keten van informatieproces- sen die ervoor zorgt dat informatie te allen tijde vindbaar, beschikbaar en toegankelijk is in de context waarin die informatie is vastgelegd (www.vbds.

nl/2017/12/13/).

De informatiewaardeketen zou voor overheden het realiseren van de Archiefwet veel eenvoudiger maken.

Die informatiewaardeketen is het laatste decennium echt een hoofdpijndossier.

Zowel bedrijven als overheden hebben hun information governance en de daaraan gerelateerde informatiewaarde- keten niet onder controle, met alle ge- volgen van dien. Het draait voor een groot deel om bewustzijn dat digitaal werken een fundament als information governance met een ingerichte informa- tiewaardeketen vereist om de perfor- mance van Enterprise Information Ma- nagement te verhogen. Op die manier worden archivering, privacy, security en duurzame toegankelijkheid van informa- tie geïntegreerd benaderd en wordt GD- PR onderdeel van een gestructureerde en verantwoorde aanpak van informatie- management en -beheer. Door de vereis- te procedures onderdeel te maken van de information governance, wordt GDRP-compliance geborgd in de informatiewaardeketen van de organisatie.

GEERTJAN VAN BUSSEL is oprichter en directeur van Van Bussel Document Services en docent/on

derzoeker aan de Universiteit en Hoge

school van Amsterdam.

AUTEURS

HANS HENSELER is lector Digital Forensics

& EDiscovery bij de specialisatie Forensische ICT aan de Hogeschool Leiden. Hij is tevens CEO en medeoprichter van Tracks Inspector, dat software ontwikkelt voor opsporingsinstanties (henseler.h@hsleiden.nl).

Referenties

Download het nu ( PDF - 5 pagina - 1.07 MB )

GERELATEERDE DOCUMENTEN

Data Zoeken Vraagstuk: Weten wat je wilt weten is essentieel

Maar goed kijken naar welke data er zijn en hoe we die kunnen inzetten om de belofte van smart city te realiseren.. Goed kijken dus hoe we de stad met behulp van data

Zoals de waar d is….

‘Vertrouwen is goed, controle is beter’ centraal. Zowel dit debat als de artikelen in dit themanummer laten zien dat een ideale vorm van vertrouwen ligt tussen controle en

Waar bevindt u zich in uw datatraject?

U hebt inzicht in welke data waar wordt opgeslagen en hoe u toegang krijgt tot deze data.. U hebt bewezen business value (in financiële cijfers) gere- aliseerd in één of

Relaties tussen culturele organisaties en overheid

Claartje Bunnik en Edwin van Huis gingen in Niet tellen maar wegen in op prestatieafspraken tussen cultuur instellingen en subsidiërende overheden en hoe deze verbeterd

De relaties tussen het BIBF en zijn leden en toekomstige leden (studenten en stagiairs) De relaties met de fiscale administratie Editoriaal

Indien de kandidaat bovendien 60% van de punten be- haalt op de fiscale cluster, wordt hij toegelaten tot het mondeling gedeelte van het examen voor het bekomen van de titel

Informatie-over-de-uitvoering-motie-Weten-waar-de-kwaliteiten-liggen.pdf PDF, 545 kb

- Geven 155 klanten aan dat ze al maatsciiappelijk actief zijn als vrijwilliger en/of mantelzorger of dat ze parttime werk doen (17) en 26 iiiervan geven aan meer te willen en

Informatie-over-de-uitvoering-motie-Weten-waar-kansen-liggen.pdf PDF, 184 kb

componenten: uitnodigingsbrieven sturen, dossieronderzoek, gesprekken voeren en arbeidspotentieel bepalen, gespreksverslagen maken, registratie van de verkregen gegevens in het

D Waar moeten we het zoeken?

Dit was de aanleiding om op 1 februari 2019 het symposium Building knowledge for chaplaincy in healthcare: future directions te organiseren van- uit de Commissie Wetenschap van