In deze tijd waarin privacy en het gebruik van persoonsgegevens onder een vergrootglas liggen, licht ik de uitwisseling van gegevens bij IT koppelingen toe.
In de nieuwe Algemene Verordening Gegevensbescherming (AVG) zijn Persoonsgegevens een ruim begrip. Waarschijnlijk denk je: ”Geheimhouding, dit geldt vast alleen voor bankrekeningnummers, BSN-nummers etc., maar ook een simpel e-mailadres hoort al tot de persoonsgegevens.” Alle, eventueel gecombineerde gegevens die herleidbaar zijn tot een natuurlijk persoon, vallen onder persoonsgegevens. En dat is dus al snel het geval.
Hoe pak je privacy aan bij IT-koppelingen? Tips van de XCESS expert.
Koppelingen en het uitwisselen van gegevens
Doel van een koppeling is het uitwisselen van gegevens tussen verschillende applicaties. Je moet je afvragen of alle gegevens die uitgewisseld worden, ook daadwerkelijk nodig zijn. De AVG-wet is daar uitgesproken over: alleen persoonsgegevens die noodzakelijk zijn voor de werking of het doel van de andere applicatie komen in aanmerking. Het ‘laten we maar doen want het kan altijd handig zijn’ is daarom een verkeerd uitgangspunt.
Wees kritisch op alles wat je vastlegt en uitwisselt.
Beveiliging van applicaties
Een veilige koppeling begint bij de applicaties die gekoppeld worden. Een aantal punten die altijd van belang zijn, én zeker bij persoonsgegevens:
1. Alleen geautoriseerde toegang.
2. Alleen toegang tot gegevens die noodzakelijk zijn voor het uitvoeren van de werkzaamheden. Dit is goed op te lossen door met de juiste rollenstructuur te werken aangevuld met een scheiding op gegevensniveau. Bijvoorbeeld alleen zicht op (persoons)gegevens van je eigen afdeling. Afgesloten zodat niet iedereen erbij kan,
3. Overweeg het versleutelen van gegevens bij de opslag
4. Bij gebruik van cloud oplossingen: waar worden de gegevens opgeslagen? Voor persoonsgegevens maakt de AVG nadrukkelijk onderscheid tussen EU en overige landen
Beveiliging van het koppelplatform
Behalve bovenstaande voorwaarden zijn er nog een aantal aspecten die meer gericht zijn op de koppeling of het koppelplatform:
5. Binnen het koppelplatform mogen niet onbedoeld restanten achterblijven die herleiden naar personen. Denk aan logfiles, auditbestanden etc.
6. De verbindingen moeten beveiligd zijn
7. Vraag je af waar het koppelplatform (in de cloud) staat. De applicaties staan wellicht in Nederland, maar hoe zit het met het koppelplatform?
Verwerkersovereenkomst
Ook koppelen is het verwerken van (persoons)gegevens. Voor de AVG betekent dit dat dat er een Verwerkersovereenkomst moet zijn met de degene die het koppelen faciliteert, beheert of onderhoudt. Vaak is dat zelfs getrapt; een partij voor het functionele beheer en een andere organisatie is verantwoordelijk voor het technische aspect zoals het beschikbaar stellen van het hosting platform.
De opdrachtgever, als eindverantwoordelijke voor het gebruik van de persoonsgegevens, dient te zorgen voor de juiste afdekking van de hele verwerkingsketen.
Let goed op de Privacy bij je IT koppeling!
Update: Deze blog publiceerden wij voor het eerst in mei 2018 naar aanleiding van de AVG-wet. Voor nu (maart 2021) geldt dat wat in dit blog staat, is nog steeds actueel.
Heb je nog vragen naar aanleiding van mijn blog Privacy bij IT koppelingen?
Stuur dan een bericht via ons contactformulier. Bellen mag natuurlijk ook via +31-33-433 51 51.