Hoe Nsecure zorgt dat toegang en security processen privacy-proof zijn

Cameraobservatie inzetten op locatie, een vingerafdruk of iris scannen om toegang te krijgen tot een gebouw of werken met gezichtsherkenning? Dat mag niet zomaar. Voordat dit soort biometrische maatregelen mag worden ingezet als onderdeel van het toegangscontroleproces, moet eerst worden bepaald in hoeverre ze voldoen aan de privacy wetgeving (AVG). Het geijkte instrument daarvoor is een zogenoemd Data Protection Impact Assessment (DPIA). In deze blog vertelt Alexander Snel (Information security & privacy consultant bij Nsecure) meer over een DPIA en hoe een goede risicoanalyse helpt bij het AVG-proof inrichten van de beveiligingsschil.

Privacy richtlijnen voor toegangscontrole en security

De Algemene Verordening Gegevensbescherming (AVG) werd in 2018 in de gehele EU van kracht. De insteek van deze Europese privacyrichtlijn is dat bedrijven en organisaties zorgvuldig moeten omgaan met gegevens van klanten, burgers of gebruikers. Persoonlijke gegevens mogen alléén verzameld en verwerkt worden na uitdrukkelijke toestemming van degene van wie die gegevens zijn. Bovendien moet de verzameling van deze persoonsgegevens een duidelijk doel dienen; het versturen van een nieuwsbrief bijvoorbeeld, of het verlenen van toegang tot een bedrijfsterrein. De gegevens mogen alleen worden verzameld voor dat specifieke doel en mogen niet worden doorgespeeld naar een andere partij.

Flinke boete

Vijf jaar na de introductie is de AVG nog altijd een hot topic voor veel bedrijven, merkt Alexander Snel. “Veel organisaties worstelen nog altijd met de vraag hoe ze precies kunnen voldoen aan de AVG. De Autoriteit Persoonsgegevens (AP), de instantie die de naleving van de AVG controleert, kan boetes uitdelen aan bedrijven en organisaties die niet aan de AVG voldoen. Zeker bedrijven en organisaties die een flinke beveiligingsschil hebben aangelegd op hun bedrijfslocaties, of waar specifieke ruimtes alleen toegankelijk zijn voor medewerkers met biometrische identificatie (via een vingerafdruk, irisscan of gezichtsscan), lopen vaak tegen vragen aan over de proportionaliteit van de getroffen maatregelen.”

Gerechtvaardigd belang

Uiteindelijk draait het bij elke maatregel om de vraag of er sprake is van een ‘gerechtvaardigd belang’, schetst Snel. “Beveiliging kán zo’n gerechtvaardigd belang zijn. Als bijvoorbeeld cameraobservatie nodig is om een bedrijfspand of bedrijfsgegevens te beschermen, dan kan dat een gegronde reden zijn om deze maatregelen door te voeren en daarmee gegevens van klanten of bezoekers te verzamelen.

Diepgaande risicoanalyse met een DPIA

Maar hoe kom je er achter of de beveiligingsmaatregelen die je wil nemen ook proportioneel en gerechtvaardigd zijn? In dat geval biedt een zogenoemd Data Protection Impact Assessment (DPIA) uitkomst, vertelt Snel. “Een DPIA is een diepgaande risicoanalyse, waarbij het privacybelang van de betrokkenen wordt afgewogen tegen de noodzaak van (effectieve) beveiliging. Een goede DPIA beschrijft alle scenario’s die (kunnen) optreden, de mogelijke beveiligingsmaatregelen, en welke persoonsgegevens daarbij verwerkt zouden worden. Vervolgens worden de voorgenomen beveiligingsmaatregelen getoetst aan de AVG.”

Op basis van de uitkomsten van de DPIA zijn vervolgens gerichte en gefundeerde keuzes mogelijk over de beveiligingsmaatregelen die wel en niet worden doorgevoerd, vervolgt Snel. “Bij een eventuele controle kan dan altijd worden aangetoond op basis van welke overwegingen de beveiligingsschil en securitysystemen zijn ingericht. Dat verkleint de kans op een boete aanzienlijk.”

Aantoonbaar in control

Wie niet zeker weet hoe de uitkomsten van de DPIA op de juiste manier moeten worden geïnterpreteerd, kan de Autoriteit Persoonsgegevens zelf om advies vragen. Daarnaast is het verstandig om een externe, gespecialiseerde adviseur de DPIA te laten uitvoeren, benadrukt Snel. “Een externe partij kijkt toch met een frisse blik naar de beveiliging van een organisatie, en kan op basis van haar kennis en ervaring op het gebied van privacy vaak veel beter inschatten wat de privacyrisico’s zijn en welke maatregelen daar dan bij passen. Een goed recent voorbeeld uit onze praktijk is een opdrachtgever uit de industriële sector, die we hebben geholpen bij het AVG-proof inrichten van zijn toegangsprocessen. Door alle security maatregelen met een DPIA goed tegen het licht te houden weet je zeker dat de beveiliging op peil is én dat de privacy van bezoekers, medewerkers en andere betrokkenen optimaal is gegarandeerd, in lijn met de AVG.”

Meer weten?

Meer weten over onze oplossingen voor het AVG-proof inrichten van uw security systemen? Neem dan gerust contact met ons op of download onze whitepaper Privacy Management. Wij vertellen u graag meer.