Bij een tekst met als blije titel “Leve de GDPR” denkt u zeker dat we er een beetje mee gaan lachen, maar dat is echt niet het geval. In een activiteit als de onze is de GDPR gewoon een zegen. De wet is bedoeld om privégegevens goed te beschermen. Dat is precies wat onze klanten willen en waar wij voor zorgen.
De GDPR – eigenlijk de Algemene verordening gegevensbescherming (AVG) in het Nederlands – voorziet dat er een bindende overeenkomst opgesteld moet worden tussen klant en leverancier wanneer er persoonsgegevens verwerkt worden. In de wet staat letterlijk dat in de overeenkomst “het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking [en] het soort persoonsgegevens” moeten worden omschreven. Door middel van “passende technische en organisatorische maatregelen” moeten wij als verwerker dit alles garanderen.
De wet geeft ons dus de verplichting om privacy te garanderen en dat kan alleen als de security en de governance helemaal in orde zijn. Privacy, security en governance zijn veel meer dan modewoorden. Om op een moderne en correcte manier met digitale gegevens te werken, vormen ze de kern van de zaak. Daarom omschrijven we in een verwerkingsovereenkomst wat we precies gaan doen met persoonsgegevens wanneer een stad, gemeente of een andere klant met ons in zee gaat. Op dat moment is het niet meer van “leve de GDPR”, want er zijn leukere dingen om te doen dan een verwerkingsovereenkomst voorbereiden. Maar het is wel essentieel en het dwingt alle partijen om eens goed na te denken over hoe we de persoonsgegevens van elke betrokkene gaan beveiligen en hoe we hun rechten vrijwaren.
Jan Geukens, technisch directeur myCSN: “Een eerste punt dat wij alvast gaan voorleggen, is de vraag of het wel noodzakelijk is om met persoonsgegevens te werken. Voor vele toepassingen kunnen we perfect aan de slag met alleen volstrekt anonieme gegevens en dan zijn we snel klaar, want dan vervallen alle verplichtingen rond de GDPR. We doen dit niet uit luiheid, maar wel uit voorzorg. Met wat u niet heeft, kan nooit iets misgaan.”
Een eerste punt dat wij alvast gaan voorleggen, is de vraag of het wel noodzakelijk is om met persoonsgegevens te werken. Voor vele toepassingen kunnen we perfect aan de slag met alleen volstrekt anonieme gegevens en dan zijn we snel klaar, want dan vervallen alle verplichtingen rond de GDPR. We doen dit niet uit luiheid, maar wel uit voorzorg. Met wat u niet heeft, kan nooit iets misgaan.
In alle andere gevallen gaan we bespreken hoe we uw persoonsgegevens zo kort mogelijk gaan bewaren, hoe we alleen toegang gaan geven aan wie er noodzakelijk mee moet kunnen werken, hoe we kunnen garanderen dat gegevens gewist worden indien afgesproken, hoe we ze ongewijzigd gaan teruggeven indien u dat vraagt, wat we ermee doen als we ze toch voor langere tijd moeten bijhouden, hoe we diefstal gaan vermijden, hoe u eraan kan en niemand anders, enzovoort.
Aan de technische kant zijn we daar helemaal klaar voor. We gaan niet te diep in detail, maar voor mensen met een wat meer technische achtergrond toch een paar zaken over onze beveiliging: alvorens we gegevens binnenhalen, moet de gegevensbron zijn authenticiteit aantonen om gegevens te mogen doorsturen. Het hele proces van authenticatie en gegevensoverdracht gebeurt bovendien uitsluitend via beveiligde verbindingen (TLS). Om te communiceren met de buitenwereld gebruiken we een MQTT-broker. Ook daar verloopt alles over beveiligde verbindingen, aangevuld met een mechanisme op basis van ACL’s (Access Control Lists) om gegevensstromen te kunnen scheiden en toegang af te schermen. Centraal werken we met een PKI (Public Key Infrastructure) om de gebruikers van de gegevensstromen certificaten te geven alvorens ze gegevens mogen lezen. Additioneel kijken we ook wie wanneer van welke gegevens gebruik heeft gemaakt om een logboek bij te houden. Daarbij besteden veel aandacht aan het injecteren, lezen of verwijderen van gegevens. Eenmaal de gegevens opgeslagen op ons platform, kan niemand ze namelijk nog wijzigen.
Het logboek is een van de belangrijkste elementen van de beveiligingsinfrastructuur. Traditioneel worden gegevens namelijk min of meer bewaard zoals in een Excel-werkblad. Als men in een Excel gegevens wijzigt, kan men de vorige versie ervan niet noodzakelijk meer zien en weet men ook niet meteen wie wat gewijzigd heeft of wanneer dat gebeurde. Mochten we op die manier werken, kunnen we eigenlijk niet aan de GDPR voldoen. Dankzij onze zogenaamde journal logging lukt dat wel. Aan elk stukje informatie dat we gebruiken of bewaren, hangt als het ware een etiketje met daarop informatie over het tijdstip en de oorsprong ervan. Zo kunnen we voor alles nagaan hoe lang we het al bezitten, wie ermee gewerkt heeft, wat de oorspronkelijke informatie was, wanneer en hoe vaak het wijzigde, enzovoort. We kunnen u dus volledige controle en transparantie aanbieden. Zo ziet u maar… leve de GDPR.
