De Algemene verordening gegevensbescherming ofwel de AVG is alweer enkele jaren van kracht. Sinds 2018 zijn organisaties gebonden aan strenge regels als het gaat om het opslaan en gebruiken van gegevens die te herleiden zijn naar een specifiek persoon. De nieuwe richtlijnen hebben nogal wat voeten in de aarde gehad en veel organisaties worstelen er nog steeds mee. Wat betekent dat voor de functioneel beheerder?
Opleiding Cyber Security bij NHA
Werken vanuit een internetomgeving is niet meer weg te denken in onze huidige maatschappij. Maar deze werkwijze is niet zonder risico’s. Met de opleiding Cyber Security zorg jij voor de juiste beveiliging tegen cyberdreigingen! -> meer informatie
De spelregels
Het doel van de privacywet AVG is dat organisaties verantwoord en veilig omgaan met persoonsgegevens. Dat geldt niet alleen voor gevoelige gegevens zoals afkomst, medische gegevens of politieke voorkeur, maar ook voor alledaagse persoonsgegevens zoals namen, contactgegevens, rekeninggegevens etc. In de meeste organisaties zijn dan ook uitgebreide richtlijnen waaraan elke medewerker zich moet houden zoals:
- Geen wachtwoorden uitprinten en aan de muur hangen (dat gebeurt nog steeds!)
- Ruim je bureau aan het eind van de dag op. Laat geen documenten slingeren.
- Vergrendel je pc of laptop altijd af als je je werkplek verlaat.
- Zorg voor goede beveiliging van je smartphone of persoonlijke laptop.
- Wees terughoudend met wat je op verjaardagen deelt over je werk.
Dit soort regels gelden voor iedereen, maar als functioneel beheerder loop je tijdens je werk veel vaker tegen de AVG richtlijnen aan. In je werk heb je op allerlei manieren met persoonlijke gegevens te maken. Natuurlijk ga je daar betrouwbaar mee om, maar hoever moet je daarin gaan? Het moet wel werkbaar blijven! Een aantal voorbeelden uit de praktijk:
1. Het afhandelen van incidenten
Om meldingen en incidenten goed op te kunnen lossen, moet je weten waar je mee te maken hebt: Wie is de gebruiker? Hoe verloopt de exacte interactie met het systeem? Welke data wordt gebruikt? Het zijn standaardvragen die je stelt om te analyseren wat er precies aan de hand is en het probleem snel uit de weg te ruimen. Daarbij ontkom je er niet aan om productiedata te gebruiken. Dat kan niet anders, maar blijf je er wel van bewust dat het zo is en wees extra op je hoede.
Zo heb je bij het analysewerk regelmatig de hulp van externe leveranciers nodig. Hoe makkelijk is het niet om die een afbeelding van je scherm te sturen om te laten weten wat er aan de hand is? Toch is het verstandig om persoonlijke gegevens die niet relevant zijn voor het oplossen van de melding, te voorzien van een zwart balkje. Daarmee verminder je het risico op datalekken, want dat is natuurlijk het laatste waar je op zit te wachten.
2. Het beoordelen van wijzigingsverzoeken
Regelmatig krijg je verzoeken vanuit de organisatie om wijzingen in het systeem aan te brengen. Ook daarin spelen persoonsgegevens vaak een rol. Denk bijvoorbeeld eens aan een afspraakbevestiging van een ziekenhuis. Welke informatie neem je hierin op? Volgens de AVG is de afzender verantwoordelijk voor eventuele datalekken, dus dan moet je goed nadenken over welke gegevens je veilig in een dergelijk bericht kunt gebruiken. Bij standaardmail kun je er nu eenmaal nooit vanuit gaan dat de lijn aan beide kanten beveiligd is. Als de ontvanger geen versleutelde mail heeft, kan het bericht onderschept worden en dan is de verzender verantwoordelijk voor het datalek.
Een grijs gebiedIn het geval van een afspraakbevestiging voor een ziekenhuisbezoek moet je kritisch kijken welke informatie de ontvanger echt nodig heeft. Wil je in deze bevestiging ook aangeven waar de patiënt zich moet melden? Aan de ene kant is dat natuurlijk wel zo handig voor iedereen, maar als het gaat om de afdeling oncologie of het fertiliteitslaboratorium, dan geef je daarmee toch medische informatie weg.
Bij dit soort dillema’s kijkt iedereen hoopvol naar de functioneel beheerder. Die zal het wel weten… Helaas pindakaas! Dit soort vragen zijn zelfs voor doorgewinterde juristen lastig te beantwoorden. Er is een hoop grijs gebied in de interpretatie van de AVG. Wat moet een eenvoudige functioneel beheerder er dan mee? Het belangrijkste is dat je het hoofd koel houdt en uitgaat van je gezonde verstand. Weeg samen met de klant alle voors en tegens tegen elkaar af en neem dan een beslissing. Een veilig alternatief kan zijn om een bevestiging te versturen met datum en tijdstip waarop iemand in het ziekenhuis wordt verwacht. De details van de afspraak kan de patiënt dan ophalen via een apart portaal die hij kan benaderen met DigiD. Dat is iets minder gebruiksvriendelijk, maar wel zo veilig! Een vergelijkbare inrichting zie je ook bij digitale communicatie vanuit de overheid. Wanneer er een bericht voor je is bij MijnOverheid krijg je alleen een e-mail met daarin de melding dat er een bericht voor je is.
Is er een AVG specialist in de zaal?Hou je twijfel over bepaalde wijzigingsverzoeken? Je kunt dan altijd op zoek gaan naar degene die verantwoordelijk is voor het implementeren van de AVG richtlijnen in je organisatie. Volgens de wet zijn alle overheidsinstanties en organisaties die regelmatig privacygevoelige gegevens verwerken, verplicht om iemand aan te stellen die verantwoordelijk is voor de AVG. Deze 'Functionaris Gegevensbescherming' is goed op de hoogte van de interne organisatie, de datastromen en de AVG wetgeving. Dat betekent niet dat je altijd een kant-en-klaar antwoord op je vraag krijgt, maar je wordt in elk geval op het goede spoor gezet.
3. Inrichting veilige ICT omgeving
Naast het afhandelen van concrete verzoeken en meldingen, heeft functioneel beheer ook als taak om risico’s in de informatievoorziening te signaleren, de organisatie daarvan bewust te maken en oplossingen aan te dragen. Zo zijn er allerlei tools en technieken die het medewerkers zo makkelijk mogelijk maken om zich te houden aan de AVG richtlijnen. Enkele voorbeelden:
- Zorg ervoor dat gebruikers alleen toegang hebben tot de systemen en de gegevens die ze daadwerkelijk nodig hebben om hun werk te doen.
- Monitor wie op welk moment ook daadwerkelijk bepaalde gegevens heeft ingezien of bewerkt. Op die manier hou je grip op je proces en kun je medewerkers die in de fout gaan, er ook op aanspreken.
- Implementeer 2-factor authenticatie zodat gebruikers naast hun wachtwoord nog een tweede factor (bv. vingerafdruk of aparte code via MFA app) nodig hebben om het systeem binnen te komen.
Zeker als het gaat om het ontwikkelen van nieuwe systemen of functionaliteit, kun je dit soort wensen prima op de agenda zetten en als acceptatiecriteria aanbrengen!