Blogs

Ubbo Van der Linde blogt: 'Privacy bij IT koppelingen'

Privacy bij IT koppelingen

mei 2018 (295) | Ubbo Van der Linde | AFAS Profit, Algemeen bij XCESS

Heb jij meerdere IT applicaties gekoppeld? Realiseer je dan dat ook hier de privacy regels gelden. Lees meer in ons blog.

In deze tijd waarin privacy en het gebruik van persoonsgegevens onder een vergrootglas liggen, licht ik de uitwisseling van gegevens bij IT koppelingen toe.

In de nieuwe Algemene Verordening Gegevensbescherming (AVG) zijn Persoonsgegevens een ruim begrip. Waarschijnlijk denk je: ”Geheimhouding, dit geldt vast alleen voor bankrekeningnummers, BSN-nummers etc., maar ook een simpel e-mailadres hoort al tot de persoonsgegevens.” Alle, eventueel gecombineerde  gegevens die herleidbaar zijn tot een natuurlijk persoon, vallen onder persoonsgegevens. En dat is dus al snel het geval. 

Hoe pak je privacy aan bij IT-koppelingen? Tips van de XCESS expert.

Koppelingen en het uitwisselen van gegevens

Doel van een koppeling is het uitwisselen van gegevens tussen verschillende applicaties. Je moet je afvragen of alle gegevens die uitgewisseld worden, ook daadwerkelijk nodig zijn.  De AVG-wet is daar uitgesproken over: alleen persoonsgegevens die noodzakelijk zijn voor de werking of het doel van de andere applicatie komen in aanmerking. Het ‘laten we maar doen want het kan altijd handig zijn’ is daarom een verkeerd uitgangspunt.

Wees kritisch op alles wat je vastlegt en uitwisselt.

Beveiliging van applicaties

Een veilige koppeling begint bij de applicaties die gekoppeld worden. Een aantal punten die altijd van belang zijn,  én zeker bij persoonsgegevens:

1. Alleen geautoriseerde toegang.

2. Alleen toegang tot gegevens die noodzakelijk zijn voor het uitvoeren van de werkzaamheden. Dit is goed op te lossen door met de juiste rollenstructuur te werken aangevuld met een scheiding op gegevensniveau. Bijvoorbeeld alleen zicht op (persoons)gegevens van je eigen afdeling. Afgesloten zodat niet iedereen erbij kan,

3. Overweeg het versleutelen van gegevens bij de opslag

4. Bij gebruik van cloud oplossingen: waar worden de gegevens opgeslagen? Voor persoonsgegevens maakt de AVG nadrukkelijk onderscheid tussen EU en overige landen

Beveiliging van het koppelplatform

Behalve bovenstaande voorwaarden zijn er nog een aantal aspecten die meer gericht zijn op de koppeling of het koppelplatform:

5. Binnen het koppelplatform mogen niet onbedoeld restanten achterblijven die herleiden naar personen. Denk aan logfiles, auditbestanden etc.

6. De verbindingen moeten beveiligd zijn 

7. Vraag je af waar het koppelplatform (in de cloud) staat. De applicaties staan wellicht in Nederland, maar hoe zit het met het koppelplatform?

Verwerkersovereenkomst

Ook koppelen is het verwerken van (persoons)gegevens. Voor de AVG betekent dit dat dat er een Verwerkersovereenkomst moet zijn met de degene die het koppelen faciliteert, beheert of onderhoudt. Vaak is dat zelfs getrapt; een partij voor het functionele beheer en een andere organisatie is verantwoordelijk voor het technische aspect zoals het beschikbaar stellen van het hosting platform.

De opdrachtgever, als eindverantwoordelijke voor het gebruik van de persoonsgegevens, dient te zorgen voor de juiste afdekking van de hele verwerkingsketen. 

Let goed op de Privacy bij je IT koppeling! 

Heb je nog vragen naar aanleiding van mijn blog Privacy bij IT koppelingen?

Stuur dan een bericht via ons contactformulier via onderstaande button. Bellen mag natuurlijk ook via +31-33-433 51 51.

Lees meer over Plug-ins en koppelingen met AFAS Profit.

Lees ook...