Algemene Verordening Gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) is de Nederlandse benaming van de General Data Protection Regulation (GDPR). Deze GDPR is sinds 25 mei 2018 binnen de hele Europese Unie (EU) van kracht. De GDPR vervangt de verouderde nationale privacywetten, zodat we nu een Europees brede wet hebben die bovendien beter is voorbereid op de steeds verdergaande digitalisering.

In dit artikel vertellen we meer over de AVG. Eerst leggen we uit wat er in de AVG is vastgelegd en waarom de AVG is opgesteld. Daarna beschrijven we de 6 basisprincipes van de AVG, voor wie de wet is bedoeld en hoe je persoonlijke data beter kunt beheren en beschermen.

Wat is de AVG?

De AVG geeft organisaties meer verantwoordelijkheden en verplichtingen bij het verwerken van persoonsgegevens. Tegelijkertijd geeft de wet meer rechten aan de mensen van wie die gegevens worden verzameld. Het verwerken van persoonsgegevens kan daarbij van alles zijn. Het gaat er niet alleen om wat een organisatie binnenshuis doet met de verzamelde persoonsgegevens. Er zijn ook strenge regels voor het doorsturen, verspreiden, beschikbaar stellen en combineren van gegevens. Om die regels te handhaven, hebben nationale privacy toezichthouders in de nieuwe wet meer mogelijkheden om de wet te handhaven en bijvoorbeeld bij overtredingen of datalekken ook boetes op te leggen. In Nederland handhaaft de Autoriteit Persoonsgegevens de AVG.

Wat is de aanleiding van de AVG wet?

Er bestonden al wetten voor de omgang met persoonlijke gegevens, maar die waren behoorlijk achterhaald en ook niet uniform binnen Europa. De Data Protection Directive (ofwel de Databeschermingsrichtlijn) van 1995 was enkel een EU richtlijn die in ieder land is omgezet naar eigen lokale privacywetten. In Nederland gebruikten we tot 2018 de Wet bescherming persoonsgegevens. In ieder Europees land hadden we dus andere wetten, wat internationaal zakendoen en samenwerken, maar ook de handhaving van de wet steeds lastiger maakte. Het is onwerkbaar als je in meerdere landen actief bent maar ieder land heeft andere regels voor het gebruik van persoonsgegevens.

Met de AVG is dat opgelost en weten we dat je in ieder EU land dezelfde verplichtingen én bescherming hebt. Zodra je buiten de EU komt, moet je voorzichtig blijven. De EU privacy wetten gelden voor gegevens van Europese burgers in principe ook buiten de EU. Maar omdat de EU internationaal op het gebied van privacywetgeving behoorlijk vooruit loopt moet je er niet blind van uitgaan dat je gegevens in de rest van de wereld altijd volgens de regels worden behandeld. Bij het Chinese TikTok lijken ze zich bijvoorbeeld nog niet zo heel erg druk te maken over onze privacy richtlijnen.

De andere aanleiding voor de AVG is de snelle digitalisering. Toen de voorgangers van de AVG in 1995 van kracht werd, stond internet nog in de kinderschoenen. Premier Kok had in 1994 nog geen idee hoe je een computer bediende en op internet kwamen we nog niet veel verder dan e-mailen, wat nieuws bekijken en informatie opzoeken. De privacywetten bepaalden al wel van wie we welke gegevens mocht verzamelen, maar het was minder duidelijk wat je daar vervolgens mee mocht doen. En als individuele burger had je sowieso weinig grip op die gegevens.

Wat zijn persoonsgegevens eigenlijk?

Binnen de AVG zijn persoonsgegevens alle gegevens die – direct of indirect – iets over jou vertellen. Dat zijn dus de gangbare gegevens als je naam, adres, woonplaats en telefoonnummers, maar ook foto’s waarop jij staat, je zoekhistorie op Google en jouw wedstrijdresultaten op de tennisclub. Sommige persoonsgegevens gaan direct over jou als persoon. Andere gegevens gaan niet over jezelf, maar zijn wel naar jou te herleiden en in combinatie met andere gegevens zeggen ze iets over jou als persoon. Met het IP-adres van je smartphone bijvoorbeeld, zijn online gegevens te koppelen aan jouw apparaat en alle data die daarbij hoort.­­

Bij alle persoonsgegevens bepaalt de AVG wat men wel en niet mag doen met die gegevens. Los van deze bovenstaande ‘standaard’ persoonsgegevens onderscheidt de AVG een aantal andere categorieën persoonsgegevens waarvoor speciale regels gelden: Bijzondere persoonsgegevens en strafrechtelijke gegevens.

Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens die extra privacygevoelig zijn. De impact als zulke gegevens onterecht bij anderen terechtkomen is enorm en daarom krijgen bijzondere persoonsgegevens extra bescherming in de AVG. Je kunt ervan uit gaan dat je zulke gegevens standaard niet mag verwerken tenzij er een wettelijke uitzondering is opgenomen in de wet.

Voorbeelden van zulke bijzondere persoonsgegevens zijn gegevens waaruit iemands ras of etnische afkomst blijkt, of waar iemands politieke, religieuze of levensbeschouwelijke opvattingen blijken. Maar ook iemands genetische gegevens, biometrische gegevens, informatie over je gezondheid, seksueel gedrag of seksuele gerichtheid zijn bijzondere persoonsgegevens. Ook het lidmaatschap van een vakbond hoort daarbij.

Strafrechtelijke gegevens
Strafrechtelijk gegevens zijn onder andere strafrechtelijke veroordelingen en strafbare feiten, inclusief gegronde verdenkingen. Bepaalde overheidsorganisaties – met name binnen het ministerie van Justitie en Veiligheid – mogen deze gegevens binnen strikte wettelijke kaders verwerken. Verder mogen deze gegevens nergens worden gebruikt.

Naast de genoemde categorieën wordt ook de term gevoelige persoonsgegevens vaak gebruikt. Dit zijn feitelijk gewone persoonsgegevens die alleen wel extra gevoelig liggen als ze onterecht worden verspreid bij bijvoorbeeld een datalek. Dan gaat het bijvoorbeeld om je financiële gegevens, je locatie, je burger servicenummer (BSN) en alle elektronische communicatie (e-mail, appjes etc.). Hiervoor zijn geen extra regels binnen de AVG, maar vanwege de gevoeligheid ervan is het wel verstandig om er extra voorzichtig mee om te gaan.

AVG basisprincipes

Met de AVG zijn er veel strakkere regels welke gegevens verzameld mogen worden en waarvoor. Ook moeten we de betrokken personen tegenwoordig veel beter informeren en in veel gevallen ook om toestemming vragen. Toestemming die je als burger ook weer kunt intrekken. Ook heb je het recht om ‘vergeten te worden’. Dankzij dat vergeetrecht of recht op vergetelheid mag je eisen dat gegevens die niet wettelijk bewaard moeten blijven, uit de systemen worden verwijderd. De AVG als geheel bestaat uit een enorme lap tekst van 99 artikelen, maar de essentie vind je in de zes beginselen of principes in artikel 5:

1. Rechtmatigheid, behoorlijkheid en transparantie
   Organisaties mogen alleen persoonsgegevens verwerken waarvoor een wettelijke grondslag is. Er zijn verschillende grondslagen die we in het hoofdstuk hierna samen langslopen. Bovendien moeten organisaties op een eerlijke en transparante manier omgaan met de gegevens. Ze moeten de betrokkene bijvoorbeeld helder informeren welke gegevens ze verzamelen en wat ze ermee doen.

2. Doelbinding
   De persoonsgegevens moeten bovendien worden verzameld voor een duidelijk omschreven doel. Dat doel mag niet stilzwijgend worden aangepast en je mag de gegevens ook niet zomaar voor andere dingen gaan gebruiken. Vraag je aan iemand om zijn of haar adresgegevens om een bestelling af te leveren, dan mag je datzelfde adres niet zomaar gaan gebruiken om ook reclamefolders te versturen.

3. Dataminimalisatie
   Als er een bepaald doel is om gegevens te verzamelen, dan mag je ook echt alleen de gegevens verzamelen die daarvoor nodig zijn. Het is logisch dat een online schoenenwinkel de schoenmaat vraagt om de klant te kunnen helpen. Maar iemands inkomen, seksuele voorkeuren en gezinssamenstelling heb je daarvoor niet nodig.

4. Juistheid
   Als een organisatie persoonsgegevens gaat verzamelen, moet men die gegevens vervolgens ook foutloos verwerken en voldoende moeite doen om alle gegevens correct te houden.

5. Opslagbeperking
   Dit wordt ook wel de bewaarbeperking genoemd. Je mag gegevens die je hebt verzameld niet zomaar eindeloos bewaren. Gegevens opslaan mag je zo lang als dat nodig is voor het afgesproken doel. Na een afgesproken tijd moet de schoenwinkel jouw gegevens weer verwijderen. Ingewikkeld is daarbij dat bij soortgelijke gegevens verschillende bewaartijden kunnen gelden, afhankelijk van het doel. Een cv van een afgewezen kandidaat moet je al snel weer verwijderen. Krijgt iemand de baan, dan mag je het cv uiteraard langer bewaren. De opslagbeperking betekent dat mensen zich dus moeten verdiepen in bijvoorbeeld archiefwetten en moeten nadenken over de automatische opslag van hun gegevens.

6. Integriteit en vertrouwelijkheid
   De bovenstaande principes gingen allemaal over wát je met gegevens mag doen en waarom. Tijdens de verwerking van persoonsgegevens gebruik je vaak meerdere systemen. Organisaties moeten zorgen voor technische en organisatorische maatregelen om die persoonsgegevens goed te beveiligen tegen ongeoorloofde toegang en de onrechtmatige verwerking van die gegevens. Het gaat er daarbij niet alleen om een computerhack van buitenaf te voorkomen. Je moet ook zorgen dat de eigen medewerkers alleen toegang krijgen tot gegevens die ze echt nodig hebben voor hun werk.

Los van de genoemde basisprincipes is het belangrijk dat je je niet alleen aan de AVG moet houden, maar dat je dat desgevraagd ook kunt aantonen aan de hand van jouw maatregelen. Er is een zogeheten verantwoordingsplicht. De bewijslast ligt bij jou als organisatie.

Wettelijke grondslagen van de AVG: Waarom mag je iemands persoonlijke gegevens verwerken?

Elke keer als we iemands persoonsgegevens gebruiken, is dat eigenlijk een inbreuk op diens privacy. Maar de realiteit is dat wel moeten omdat we anders helemaal niets meer kunnen. Van de genoemde schoenwinkel tot en met je bank, de school van je kinderen en de gemeente, iedereen heeft regelmatig persoonlijke gegevens nodig om zijn werk te kunnen doen. Daarom beschrijft de AVG nauwkeurig waarom je bepaalde gegevens wel mag opvragen en verwerken. Dat noemen we de wettelijke grondslagen. Voor ieder gebruik van persoonlijke gegevens moet een grondslag zijn en die grondslag moet je ook duidelijk vastleggen. Er zijn zes grondslagen die we hieronder kort toelichten:

1. Toestemming
   In sommige gevallen mogen gegevens gebruikt worden zonder toestemming. Als je te hard reed, krijg je een boete thuisgestuurd en het CJIB zal je dan niet eerst vragen of ze je adresgegevens mogen gebruiken. Hieronder vind je de meerdere grondslagen waarvoor men dus ‘zomaar’ je gegevens mogen gebruiken. Maar in heel veel gevallen moet iemand eerst toestemming geven. Dat varieert van een website die jouw gegevens wil gebruiken voor de nieuwsbrief tot en met de sportclub die een ledenlijst wil publiceren. De AVG stelt daarbij behoorlijk wat eisen. Het moet vrijwillig gebeuren en het moet ook ondubbelzinnig zijn welke gegevens worden verzameld. Ook moet iemand weten wie de gegevens verzamelt en voor welk doel. Bovendien moet je altijd kunnen navragen welke toestemming je hebt gegeven, welke gegevens al verzameld zijn en je mag die toestemming ook altijd weer intrekken.

2. In het kader van een overeenkomst
   Soms heb je bepaalde gegevens nodig om een afspraak goed uit te voeren. Koop je een nieuwe tv dan moet die op het juiste adres kunnen afleveren. Ook is het, afhankelijk van hoe er wordt betaald, wellicht een IBAN nummer nodig. Die gegevens mag je gewoon verzamelen, al geldt ook hier dat het helpt als je hier transparant over bent. Zodra je meer gegevens verzamelt dan strikt nodig om je werk te kunnen doen, moet iemand weer expliciet toestemming geven. Je mag dus bij aflevering van de tv niet zomaar ook even de gezinssamenstelling noteren voor de targeting van je advertentie campagnes.

3. Wettelijke verplichting
   Soms mogen instanties gegevens simpelweg verzamelen omdat dit wettelijk verplicht is. Zo heeft de belasting allerlei persoonlijke en financiële gegevens nodig voor je belastingaanslag en toeslagen. Dat hoeven ze je niet apart te vragen en weigeren is ook niet echt een optie. Hetzelfde geldt voor het voorbeeld van de snelheidsboete.

4. Vitale belangen
   Soms zijn gegevens cruciaal zonder dat iemand zelf toestemming kan geven. Bijvoorbeeld als iemand een ongeluk krijgt en in het ziekenhuis terechtkomt. Ook al is het slachtoffer niet aanspreekbaar, de artsen willen ook zonder toestemming direct iemand kunnen onderzoeken. Nood breekt dus wetten in dat geval.

5. Algemeen belang of openbaar gezag
   Voor allerlei wettelijke taken van overheidsorganisaties kan het nodig zijn om gegevens te verzamelen. Een bekend voorbeeld is dat een gemeente voor de openbare veiligheid cameratoezicht wil gebruiken in een uitgaansgebied. Daar hoeven ze niet eerst iedereen individueel toestemming voor te vragen.

6. Gerechtvaardigd belang
   De laatste grondslag is het gerechtvaardigde belang. Hier kun je je als organisatie op beroepen als je informatie nodig hebt voor je dagelijkse bedrijfsvoering. Je hebt bijvoorbeeld gegevens van je personeel nodig voor je personeelsadministratie. Zulke gegevens mag je dan ook verzamelen, maar je moet altijd goed afwegen of bepaalde gegevens ook echt nodig zijn.

Persoonlijk gebruik mag wel
Soms lijkt het of er helemaal niets meer zomaar mag. Mensen die in hun werk met de AVG hebben te maken, vragen zich ook wel eens af wat ze überhaupt privé nog mogen. Maar thuis en met vrienden kun je gelukkig wel gewoon persoonsgegevens gebruiken. De verjaardagskalender op de wc mag gewoon blijven hangen. Maar wordt de groep vrienden groter en wordt het eigenlijk een vereniging? Dan heb je weer te maken met de AVG. En kun je via jouw beveiligingscamera de openbare straat vastleggen? Dan is het wel een AVG onderwerp.

Bescherming en beheer van persoonlijke data

Waar moet je als organisatie beginnen als je je aan de AVG wilt houden? Via deze checklist vind je de Regelhulp AVG waarmee je in 10 stappen eenvoudig en snel kunt controleren hoe het binnen jouw organisatie staat met de privacy:

Stap 1: uw gegevensverwerkingen
Allereerst wordt aan je gevraagd welke soorten persoonsgegevens jouw organisatie verwerkt. Zijn dat alleen ‘gewone’ persoonsgegevens of ook bijzondere persoonsgegevens of – maar dat is zelden het geval – strafrechtelijke gegevens? Afhankelijk van de gegevens die je hebt aangevinkt, kunnen er extra privacyregels gelden.

Stap 2: de AVG-grondslagen
Ook moet je helder kunnen aangeven welke grondslagen jij gebruikt om gegevens te verzamelen. Dus bijvoorbeeld na toestemming, of bij een contract of vanwege een wettelijke verplichting. Afhankelijk van de grondslagen zijn er aandachtspunten om op te letten. Hoe heb je bijvoorbeeld iemands toestemming gevraagd en is die informatie ook ergens terug te vinden?

Stap 3: functionaris gegevensbescherming (FG)
Werk je in een overheidsinstelling? Of verzamelt jullie organisatie bijvoorbeeld massaal gegevens tijdens evenementen. Dan kan het zijn dat je een functionaris gegevensbescherming (FG) moet aanstellen. Die moet er binnen de organisatie op letten dat iedereen zich houdt aan de AVG. Voor de meeste Mkb’er die alleen ‘gewone’ persoonsgegevens verwerken, is dit normaliter niet nodig.

Stap 4: data protection impact assessment (DPIA)
Een data protection impact assessment (DPIA) is een analyse waarmee je vooraf bepaalt welke risico’s het verwerken van persoonsgegevens oplevert voor de betrokken personen. Voor veel middelgrote organisaties die gewone gegevens verwerken zal dat niet nodig zijn. Maar bijvoorbeeld wel als je werkt met kwetsbare personen, bulkgegevens verwerkt, nieuwe technologie inzet (biometrische systemen bijvoorbeeld) of automatisch besluiten neemt aan de hand van persoonsgegevens. Dus als een bank automatisch leningen verstrekt of afwijst aan de hand van algoritmes met persoonsgegevens, moet daarvoor een DPIA zijn gemaakt.

Stap 5: privacy by design & default
Bij deze check moet je je systemen en processen kritisch doorlichten. Daarbij kijk je vooral of je computersystemen – en de procedures – zo zijn ontworpen dat je persoonlijke gegevens altijd veilig kunt opslaan en verwerken (privacy by design). Maar ook of systemen standaard zo zijn ingesteld dat gegevens niet zomaar beschikbaar zijn voor iedereen (privacy by default). Hoe goed een systeem ook lijkt te zijn ontworpen, er is geen sprake van ‘privacy by default’ als iedere gebruiker een account krijgt met een default wachtwoord en direct toegang tot alle data.

Stap 6: register van verwerkingsactiviteiten
Een verwerkingsregister geeft een overzicht van alle soorten persoonsgegevens die je binnen de organisatie verwerkt. Tenzij je een kleine organisatie bent en alleen heel sporadisch gegevens verzamelt, moet je eigenlijk altijd zo’n register maken. Het is ook handig want die gegevens moet je sowieso altijd paraat hebben.

Stap 7: beveiliging
Ongeacht wat je met gegevens mag doen, de gegevens moeten altijd goed beveiligd zijn. Een uitdaging als we weten dat gegevens van mensen gemiddeld in honderden tot duizenden bestanden terecht komen. In deze stap wordt je gevraagd na te gaan of die beveiliging op orde is. Dit gaat dus verder dan de ‘privacy by design en default’ hiervoor. Het gaat om de volledige bedrijfsvoering. Dus niet alleen om technische systemen maar ook om de processen. Het grootste beveiligingsrisico is meestal de mens. Een veilig wachtwoord is uitstekend, maar als dat wachtwoord met een geeltje op de monitor wordt geplakt, is er nog het een en ander te doen.

Stap 8: verwerkersovereenkomsten
De Regelhulp is bedoeld voor zogenaamde verwerkingsverantwoordelijken. Dat zijn alle bedrijven, overheidsinstanties, stichtingen en ook kleine ZZP’ers die persoonlijke gegevens verwerken. Of die de gegevens laten verwerken door een ander, een zogenaamde verwerker. Bijvoorbeeld een marketingbureau waar jij klantgegevens naartoe stuurt om een campagne te organiseren. Jij als opdrachtgever blijft dan wel altijd verantwoordelijk.

Zo moest de NS het afgelopen jaar een bericht sturen naar 780.000 klanten dat hun gegevens waren gelekt door hun reclamebureau. Niemand wil verantwoordelijk zijn voor zo’n datalek en daarom moet je altijd een verwerkersovereenkomst afsluiten met je verwerker(s). Daar leg je de onderlinge afspraken en verantwoordelijkheden vast. Je maakt bijvoorbeeld harde afspraken over de beveiliging.

Stap 9: informatieplicht
Afhankelijk van welke gegevens je verzamelt en met welke grondslag moet je de betreffende personen informeren. Bijvoorbeeld in de vorm van een privacyverklaring.

Stap 10: privacyrechten
De laatste stap gaat erover dat je niet alleen allerlei zaken moet regelen om iemands gegevens te verwerken. Je moet ook garanderen dat mensen altijd de baas blijven over hun eigen informatie. Mensen mogen opvragen welke gegevens je van ze hebt opgeslagen. Ook mogen ze hun toestemming weer intrekken of verzoeken de gegevens te verwijderen. Hiervoor moet je de technische maatregelen en processen hebben ingeregeld voordat je aan de slag gaat.

Hoe kan een Identity Access Management (IAM) helpen bij jouw AVG compliancy?

Hoe kan een goed geïmplementeerde IAM-oplossing bijdragen aan de naleving van de Algemene Verordening Gegevensbescherming (AVG)? De eerste vijf van de al eerder genoemde ‘AVG principes’ richten zich er vooral op wat je met persoonsgegevens mag doen en welke verplichtingen je hebt bij de verwerking. Een IAM platform beheert gebruikersaccounts en toegangsrechten en verwerkt dus zelf ook gegevens (naamgegevens, email en soms ook telefoonnummers of geboortedata). Voor een IAM platform gelden zelf alle basisprincipes ook, maar bij basisprincipe 6 speelt het IAM platform binnen een organisatie een extra hoofdrol:

De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere persoonsgegevens, zoals over iemands gezondheid, gelden extra strenge regels.

De beveiliging van de persoonsgegevens en de verwerkende applicaties moet dus optimaal zijn. De AVG geeft hiervoor echter geen standaard aanpak. Het uitgangspunt is dat je ‘passende technische en organisatorische maatregelen’ moet nemen. Wat dat in jouw geval betekent is afhankelijk van jouw specifieke verwerkingen van persoonsgegevens en de geïnventariseerde risico’s. Wel benadrukt de Autoriteit Persoonsgegevens (AP) het specifieke belang van digitale toegangsbeveiliging. Hiervoor geeft men ook een aantal concrete adviezen en richtlijnen. Die hebben we hieronder per advies uitgewerkt, inclusief hoe een IAM systeem daarbij kan helpen. We illustreren dit met behulp van HelloID, een voorbeeld van een modern Identity-as-a-Service platform (IDaaS).

Voer een autorisatiematrix in. In zo’n autorisatiematrix moeten alle toegangsrechten voor alle gebruikte systemen worden vastgelegd. Duidelijk moet zijn welke informatie noodzakelijk is voor welke medewerkers om hun werk te kunnen doen. Zo’n matrix moet voldoende detail hebben en steeds actueel worden gehouden. Op basis hiervan kun je met de juiste autorisatiemaatregelen ongeautoriseerde toegang tot persoonsgegevens voorkomen. Als er een bekende Nederlander in je ziekenhuis verblijft, wil je voorkomen dat het hele personeelbestand het medische dossier kan doorbladeren.

De ‘IAM rol’ in dit advies: Om dit AVG advies op een werkbare manier te implementeren, is een state-of-the-art IAM oplossing nodig met zogenoemde Role/Attribute Based Access Control, verder in dit document RBAC genoemd. Alleen met zo’n oplossing kun je beheersbaar zorgen dat iedereen altijd alleen toegang heeft tot de minimaal noodzakelijke gegevens en applicaties. Ook kun je dan garanderen dat als iemand een andere functie of rol krijgt ook direct de toegangsrechten worden aangepast. En als een medewerker de organisatie verlaat, zorgt zo’n IAM oplossing dat direct de toegang wordt geblokkeerd. Bovendien kun je de processen automatiseren. Tijdelijke accounts worden vanzelf weer geblokkeerd en voordat het systeem iemands account activeert, moet hij of zij eerst online de privacyregels accepteren.

Gebruik multifactor authenticatie (MFA). Men adviseert bij alle systemen waar toegangscontrole op ingesteld is, ook MFA te gebruiken. Men adviseert dit ook voor (zakelijke) chatdiensten (zoals WhatsApp) en mailapplicaties.

De ‘IAM rol’ in dit advies: Met een modern IAM platform kun je MFA effectief implementeren en zo invulling geven aan dit advies. Bovendien kan een professionele IAM oplossing de MFA instelling context-afhankelijk maken. Zodat je bijvoorbeeld specifiek MFA afdwingt als iemand buiten kantoor of op ongebruikelijke tijdstippen gevoelige persoonsgegevens raadpleegt. Belangrijk is namelijk om MFA doelgericht in te zetten en zogeheten ‘MFA fatigue’ te voorkomen.

Log de toegang tot systemen. Het is niet alleen nodig om toegang tot systemen te beveiligen. Het is ook nodig om gebeurtenissen in de systemen vast te leggen. Bijvoorbeeld wie welke verwerkingen op persoonsgegevens heeft uitgevoerd, maar ook (ongeautoriseerde) toegangspogingen tot systemen en data. Door zulke logbestanden te analyseren kan men inbraak(pogingen) eerder ontdekken en na een beveiligingsincident snel en gerichte maatregelen nemen.

De ‘IAM rol’ in dit advies: Ook hier speelt de IAM omgeving een centrale rol. Met uitgebreide logging functionaliteit is altijd te traceren welke toegangspogingen zijn uitgevoerd, wanneer en door wie. Ook is een goede IAM oplossing op ieder moment auditeerbaar en kan het systeem een statusoverzicht geven van alle verstrekte accounts. Inclusief de toegangsrechten tot applicaties, data en andere digitale faciliteiten. Ook is traceerbaar wie een toegangsrecht heeft aangevraagd en wie dat verzoek heeft goedgekeurd.

Met de bovengenoemde functies kan een IAM-systeem een krachtig hulpmiddel zijn voor organisaties om te voldoen aan de AVG en andere privacywetten.

De belangrijkste inzichten op een rijtje

De AVG is een enorme verbetering ten opzichte van de eerdere privacy wetten. We bewaken nu overal binnen Europa op dezelfde manier onze privacy en bij digitale diensten is de privacy veel beter geborgd. Er zijn een aantal aandachtspunten om te zorgen dat je als organisatie compliant zijn met de AVG:

• Zorg dat je bij alle persoonsgegevens die je verwerkt weet wat het doel is van de verwerking, dat deze past bij een van de AVG grondslagen en dat je dat goed hebt gedocumenteerd. Transparantie is enorm belangrijk in de AVG.
• Zorg ook dat je de personen van wie je gegevens gebruikt, volledig informeert. Vraag toestemming als dat nodig is en zorg dat zowel de goedkeuring als de opgeslagen gegevens zijn terug te vinden. Zorg ook dat je vragen van gebruikers kunt beantwoorden en dat je gegevens op verzoek ook weer kunt verwijderen.
• Maak zoveel mogelijk gebruik van Role Based Access Control (RBAC). Daarin zijn iemands toegangsrechten automatisch gekoppeld aan diens rol in de organisatie. Hiermee kun je zorgen dat alleen die medewerkers toegang krijgen tot persoonsgegevens die deze gegevens ook echt nodig hebben voor hun werk. En ook dat accounts van medewerkers tijdig uitgezet worden om te voorkomen dat personen via die account onrechtmatige toegang kunnen krijgen. Een modern IAM systeem als HelloID heeft deze RBAC ingebouwd.
• Zorg voor Multi Factor Authenticatie (MFA) om de toegang tot de systemen extra te beveiligen. Juist bij persoonsgegevens – en zeker bij bijzondere persoonsgegevens – geeft dit een extra slot op de deur om datalekken te voorkomen.
• Zorg dat je IAM systeem uitgebreide logging en rapportagemogelijkheden heeft. Bij een datalek moet je binnen 72 uur actie ondernemen en daarbij moet je kunnen terughalen wie er toegang heeft tot welke gegevens en wanneer bepaalde gegevens zijn geraadpleegd.