Bijdrage van Sietske Veen en Robbert Fokkens – Functioneel Beheerders bij LINKIT
Als burgers van de Europese Unie hebben we het voorrecht dat onze persoonsgegevens beschermd worden door de Algemene Verordening Gegevensbescherming (AVG), of in het Engels de GDPR (General Data Protection Regulation). De mate van bescherming die de AVG biedt, is in de rest van de wereld helemaal niet vanzelfsprekend. Neem bijvoorbeeld de Verenigde Staten, waar burgers niet eens het recht hebben op hun eigen beeltenis.
Wanneer zij bijvoorbeeld in het openbaar worden gefilmd of gefotografeerd, dan mogen deze beelden zonder toestemming worden gepubliceerd. Maar wat heeft dit met jou te maken als functioneel beheerder? Meer dan je misschien denkt! Je speelt namelijk een belangrijke rol in het waarborgen van de privacy van gebruikers. In dit artikel duiken we dieper in de AVG, de maatregelen die je kunt nemen, en hoe jij als functioneel beheerder een actieve bijdrage kunt leveren aan het beschermen van persoonsgegevens.
Wat is de AVG/GDPR?
De AVG is een wetgeving die sinds mei 2018 van kracht is binnen de Europese Unie en die als doel heeft de privacy en persoonsgegevens van EU-burgers te beschermen. De wetgeving stelt strikte regels aan bedrijven en organisaties die gegevens van Europese burgers verwerken, ongeacht waar ter wereld zij gevestigd zijn. Een belangrijk aspect van de AVG is dat deze wetgeving ook van toepassing is op bedrijven buiten de EU, mits zij gegevens van EU-burgers verwerken. Dit betekent dat Europese burgers wereldwijd profiteren van een bepaalde mate van bescherming die anders wellicht afwezig zou zijn. Hoewel de AVG vaak wordt gezien als een beperkende maatregel is het voornaamste doel de grondrechten van de burgers in het digitale tijdperk te versterken en het handelsverkeer door duidelijke regels voor bedrijven te bevorderen.
Waar in sommige landen persoonsgegevens als handelswaar worden gezien en er nauwelijks wettelijke barrières zijn voor het gebruik ervan, geldt binnen de EU het tegenovergestelde. Persoonsgegevens worden beschermd door de AVG en niet zomaar een economisch goed, maar een essentieel onderdeel van iemands identiteit. Deze benadering staat in scherp contrast met bijvoorbeeld de Verenigde Staten, waar de bescherming van persoonsgegevens veelal afhankelijk is van sectorspecifieke regelgeving in plaats van een algemene wet zoals de AVG.
Technische en Organisatorische Maatregelen: Privacy by Design
Een belangrijk principe binnen de AVG is het concept “Privacy by Design.” Dit houdt in dat privacy vanaf het begin moet worden meegenomen bij het ontwikkelen van systemen en processen, in plaats van er pas later aan te denken. Technische en organisatorische maatregelen spelen hierin een cruciale rol.
Technische maatregelen omvatten zaken als het versleutelen van gegevens, het regelmatig uitvoeren van audits en het opzetten van beveiligingsprotocollen. Organisatorische maatregelen betreffen het trainen van medewerkers, het opstellen van beleid rondom gegevensverwerking, en het aanstellen van een Functionaris voor de gegevensbescherming (FG) indien nodig.
De toegevoegde waarde van de functioneel beheerder ligt hier vooral in het implementeren van passende technische oplossingen, zoals het beperken van functionaliteiten (bijvoorbeeld het printen, opslaan, doorsturen, bewerken of kopiëren van documenten of dossiers met persoonsgegevens) en het gebruik van veilige tools, waaronder apps voor het verzenden van vertrouwelijke gegevens.
Kortom, privacy is niet alleen een juridische kwestie, maar ook een fundamentele pijler in de manier waarop systemen en diensten ontworpen en beheerd worden. Privacy is het beste te borgen door middel van Informatiebeveiliging, want zonder de juiste beveiliging is privacybescherming slechts een papieren tijger.
Functioneel Beheer en Informatiebeveiliging: Een Actieve Rol
Als functioneel beheerder bevind je je in een unieke positie: jij hebt direct invloed op de inrichting en het beheer van de systemen die dagelijks gebruikt worden door medewerkers. Jij speelt dus een belangrijke rol bij het implementeren van Privacy by Design in de systemen die onder jouw verantwoordelijkheid vallen. Een van de belangrijkste aspecten hierbij is Identity and Access Management (IAM).
IAM draait om het beheren van digitale identiteiten en het toekennen van rechten en rollen binnen systemen. Binnen de context van de AVG betekent dit dat je ervoor moet zorgen dat gebruikers alleen toegang hebben tot die gegevens die voor het uitvoeren hun functie noodzakelijk zijn (het zogenaamde ‘least privilege principle’). Een doktersassistent hoeft bijvoorbeeld alleen maar te weten wanneer een patiënt een afspraak heeft. Een arts moet daarnaast ook toegang tot de inhoud van het patiëntendossier hebben. Dit kan je realiseren door goed na te denken over autorisatiemodellen en het implementeren van toegangscontroles.
Daarnaast zorgt IAM ervoor dat er heldere logbestanden worden bijgehouden over wie toegang heeft gehad tot welke gegevens, en dat je als beheerder tijdig kunt ingrijpen bij ongewenst gedrag. Denk hierbij aan het detecteren van ongebruikelijke inlogpogingen of het snel verwijderen van toegangsrechten wanneer iemand de organisatie verlaat.
Loggen alleen is niet voldoende. Er moet een vervolgactie komen op deze inregeling. Hier moet een verantwoordelijke voor worden aangewezen, bijvoorbeeld een functioneel beheerder die ook deze acties onderneemt. Deze vervolgacties dienen te worden beschreven in een procedure of werkinstructie. Vervolgens moet er worden gerapporteerd aan de FG, CISO of PO.
De functioneel beheerder kan samen met de privacy officer regelmatig terugkerende AVG-awareness sessies organiseren om eindgebruikers bewust te maken van de juiste omgang met persoonsgegevens.
Privacy by Design in SharePoint
Een mooi voorbeeld waarop functioneel beheerders direct invloed kunnen uitoefenen rondom privacybescherming is met de inrichting van SharePoint. SharePoint is een populaire tool binnen veel organisaties voor documentbeheer en samenwerking. Maar hoe zorg je ervoor dat SharePoint voldoet aan de eisen van de AVG en Privacy by Design?
Allereerst is het belangrijk om te bepalen welke gegevens op welke plek opgeslagen worden. Het liefst sla je gevoelige informatie op in goed afgeschermde SharePoint sites en libraries waar alleen een selecte groep toegang tot heeft. Hierbij kun je gebruikmaken van verschillende functies binnen SharePoint, zoals het instellen van beperkte permissies.
Verder kun je gebruikmaken van dataclassificatie om duidelijk aan te geven welke documenten gevoelig zijn en extra afscherming nodig hebben. Dit kan bijvoorbeeld door metadata toe te voegen aan documenten waarmee je aangeeft wat voor soort informatie het betreft, zoals ‘vertrouwelijk’, ‘intern’ of ‘openbaar’.
Daarnaast biedt SharePoint mogelijkheden voor het instellen van automatische bewaartermijnen voor documenten, waardoor gegevens niet langer bewaard worden dan strikt noodzakelijk. Dit is niet alleen een goed privacy principe, maar ook een vereiste onder de AVG.
Ten slotte kun je overwegen om auditlogs in te schakelen in SharePoint. Dit maakt het mogelijk om bij te houden wie wanneer toegang heeft gehad tot bepaalde documenten, wat belangrijk kan zijn in het geval van een datalek of een ander beveiligingsincident.
Conclusie
De AVG heeft de manier waarop we omgaan met persoonsgegevens binnen en buiten de EU fundamenteel veranderd. Als functioneel beheerder heb je een cruciale rol in het waarborgen van de privacy van gebruikers door technische en organisatorische maatregelen in te richten volgens de principes van Privacy by Design.
Door actief mee te denken over zaken als IAM, informatiebeveiliging en de inrichting van tools zoals SharePoint, kun je ervoor zorgen dat jouw organisatie voldoet aan de AVG en tegelijkertijd een veilige en efficiënte werkomgeving creëert. Het beschermen van persoonsgegevens is niet alleen een juridische verplichting, maar ook een morele verantwoordelijkheid. En met jouw hulp als functioneel beheerder kunnen we deze verantwoordelijkheid serieus nemen en ervoor zorgen dat de privacy van gebruikers gewaarborgd blijft.
Dus de volgende keer dat je bezig bent met het inrichten van een systeem of het instellen van toegangsrechten, bedenk dan dat je bijdraagt aan iets groters: de bescherming van persoonsgegevens op een niveau dat lang niet overal ter wereld vanzelfsprekend is. Met deze insteek kun je als functioneel beheerder bijdragen aan de bescherming van privacy en de veiligheid van data in je organisatie!
Wil je vaker lezen over relevante kennis binnen het functioneel beheer vakgebied? Meld je hier aan voor onze functioneel beheer updates en ontvang elke 2 weken een nieuwe mail!