AVG-proof in de industriële sector

De uitdagingen op het gebied van safety en security in de industriële sector zijn universeel. Overal in een fabriek of op een raffinaderij vinden werkzaamheden plaats waarbij enkel de hoogste graad van veiligheid volstaat. Naast safety, speelt ook wet- en regelgeving een steeds belangrijkere rol. Nsecure combineert jarenlange ervaring in toegangscontrole en identiteitsmanagement met expertise over privacywetgeving en zet deze in om klanten te ondersteunen bij het AVG-proof inrichten van hun toegangsprocessen. Samen met één van onze opdrachtgevers in de industriële sector doorliep Nsecure recentelijk een traject waarbij een Data Protection Impact Assessment werd uitgevoerd. Het resultaat? Toegang en identity processen die voldoen aan privacy wetgeving.

Data Protection Impact Assessment

Een Data Protection Impact Assessment (DPIA) geeft inzicht in de risico’s voor de betrokkenen van wie persoonsgegevens worden verwerkt binnen een bepaald proces en in de maatregelen die de verantwoordelijke moet nemen om deze risico’s af te dekken. De verwerkingen die plaatsvinden in het kader toegangscontrole en identiteitsmanagement zijn veelal grootschalig en gecompliceerd. Dit betekent dat het uitvoeren van een DPIA essentieel en ook wettelijk vereist is, om te borgen dat aan de eisen van de AVG wordt voldaan.

Uitdaging: AEOS-upgrade en integratie met workflow management oplossing Dataclient

In deze case study belichten we een vrij complexe situatie bij een grote speler in de industriële sector. Voor de invulling van toegang en security processen werd gebruik gemaakt van een AEOS-toegangscontrolesysteem. Het huidige toegangscontrolesysteem moest geüpgraded worden naar een nieuwe AEOS-versie om dit te koppelen aan de nieuwe workflow & identity management oplossing, Dataclient. Toegangsstromen van medewerkers, bezoekers en contractors worden hierin beheerst. Hierdoor was een migratie van de bestaande database naar de nieuwe omgeving vereist.

Toegangsprocessen op een multi-user terrein

Daarnaast zijn er op het terrein nog een aantal bedrijven gevestigd die ook gebruik willen maken van de systemen om zo zelfstandig bezoekers, medewerkers en contractors aan te melden. Zo is er controle over wie wordt aangemeld en welke gegevens worden ingevoerd. Alle partijen zijn aan te merken als (mede)verwerkingsverantwoordelijken; zij dragen allen de verantwoordelijkheid over (hun deel van) de gegevens. De grootste verantwoordelijkheid ligt bij de opdrachtgever als partij die verantwoordelijk is voor het beheer en de beveiliging van de systemen. Daarnaast heeft Nsecure ook een rol als verwerker vanwege de hosting van de systemen. 

Risico’s in kaart; dataminimalisatie, gegevenskwaliteit en beveiliging

De wens om de upgrade te voltooien en te werken met de nieuwe Dataclient oplossing, bracht een aantal privacy risico’s met zich mee;

1. Het minimaliseren van data; zijn alle gegevens uit de oude AEOS-omgeving nog wel vereist?
2. Gegevenskwaliteit; zijn alle gegevens nog actueel?
3. Beveiliging; hoe worden de gegevens tijdens de migratie beveiligd?

Advies; uitvoeren van een DPIA

Om de migratie en overstap succesvol te doorlopen en te voldoen aan privacy wetgeving, is er een DPIA uitgevoerd. Door een nauwkeurige en kritische analyse heeft Nsecure de opdrachtgever geholpen met het inzichtelijk krijgen van privacy risico’s en het formuleren van passende beheersmaatregelen.

Idealiter wordt een DPIA uitgevoerd voorafgaand aan de start van een project waarbij gegevens worden verwerkt, zodat in het technische ontwerp optimaal rekening wordt gehouden met privacy. In deze case was dit gedeeltelijk mogelijk, omdat het een combinatie is van bestaande en nieuwe verwerkingen van gegevens.

Stap 1: Het proces in kaart

De eerste stap bij een DPIA is het maken van een systematische beschrijving van het proces. Dit vormt de basis voor de overige onderdelen van het assessment. Het is cruciaal het proces volledig en in details in kaart te brengen. Het gaat niet alleen om de persoonsgegevens die verwerkt worden en de systemen waarbinnen dit gebeurt, maar ook hoe betrokken partijen in het gehele proces een rol spelen;

• Wie bepaalt het doel en middelen, wie is de verwerkingsverantwoordelijke?
• Wie zijn de betrokkenen?
• Wordt er samengewerkt met partijen die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerken?

De persoonsgegevens die worden verwerkt binnen de toegangscontrolesystemen zijn uiteenlopend van aard. Naast voor de hand liggende gegevens (zoals naam, e-mail en telefoonnummer), kunnen dit ook adresgegevens, ICE-contactgegevens, pasfoto, ID-nummer, informatie over de verblijfsstatus of opleidingsgegevens betreffen.

Stap 2: Toetsing aan de AVG

Voor alle persoonsgegevens geldt dat de verwerking moet voldoen aan de eisen van de AVG, waaronder doelbinding, rechtmatigheid en transparantie. De toepasbaarheid van één van de zes grondslagen vastgelegd in de AVG is een eerste voorwaarde om gegevens te mogen verwerken. De opdrachtgever was voornemens om gegevens hoofdzakelijk vanuit de grondslagen “gerechtvaardigd belang” en “toestemming” te verwerken en daarnaast in een beperkt aantal gevallen “wettelijke verplichting”. Met name aan de eerste twee grondslagen zitten een aantal haken en ogen, namelijk;

• Grondslag AVG Gerechtvaardigd belang

Gerechtvaardigd belang houdt in, dat de verwerking noodzakelijk moet zijn voor de bedrijfsvoering. Daarbij moet een afweging worden gemaakt tussen de belangen van de organisatie en van de personen van wie persoonsgegevens worden verwerkt. Wanneer het gaat om de beveiliging van eigendommen en gebouwen, zeker van een organisatie in de industriële sector, is dit belang goed te beargumenteren. Daarbij was het voor onze opdrachtgever een aandachtspunt om kritisch te kijken naar welke gegevens daadwerkelijk vereist waren en ook alleen die gegevens te verwerken.

• Grondslag AVG Toestemming

Voor het gebruik van de grondslag “toestemming” gelden een aantal specifieke eisen. De betrokkene moet voldoende geïnformeerd worden over de verwerking. Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Daarnaast moet het voor een betrokkene gemakkelijk zijn om de verstrekte toestemming weer in te trekken. Uit de risicoanalyse bleek dat de werkwijze die de opdrachtgever op dat moment hanteerde aan een aantal van deze eisen niet voldeed. Het was onduidelijk voor de betrokkene welke gegevens werden verwerkt, voor welke doeleinden en hoe deze toestemming ingetrokken kon worden. Toestemming werd mondeling gevraagd door de beveiligingsbeambte tijdens het eerste bezoek van een betrokkene aan de locatie. Bij de pasfoto werd in de AEOS-omgeving aangevinkt dat toestemming was gegeven. Omdat sprake kan zijn van een werknemer-werkgever relatie (ongelijke machtsverhouding) was het op die manier moeilijk aantoonbaar dat toestemming vrijelijk werd gegeven.

Stap 3: Risicoanalyse & beheersmaatregelen

De laatste stap in de DPIA is het uitvoeren van een risicoanalyse en het formuleren van beheersmaatregelen. Hierbij wordt bekeken welke risico’s voor de betrokkene en voor de organisatie van belang zijn. De bevindingen uit stap 2 vormen hierbij het uitgangspunt. Er werden zowel voor de betrokken als de organisatie een aantal risico’s geconstateerd. Op basis daarvan zijn in overleg met de opdrachtgever maatregelen geformuleerd. Zo was er als gevolg van te brede autorisaties een risico ontstaan op misbruik of oneigenlijk gebruik van de gegevens in Dataclient of AEOS, door medewerkers van opdrachtgever of van contractors.

Uitkomst advies en maatregelen: toekennen van rechten en bevoegdheden

Om te garanderen dat het AEOS-toegangscontrolesysteem en de Dataclient omgeving voldoen aan de privacy eisen, zijn er maatregelen genomen om risico’s te mitigeren. Dit is gedaan door het om het opstellen en implementeren van een testplan, controle van de geïmporteerde gegevens door de betrokkenen en het gebruik van encryptie bij de gegevensoverdracht. Er is een procedure geïmplementeerd waarin het toekennen van rechten en de bewaking van toegekende rechten beter geborgd is. Ook is logging ingericht waarbij een signaal wordt gegenereerd wanneer gebruikers grote hoeveelheden persoonsgegevens opvragen binnen het systeem.

Daarnaast werden een aantal gegevens verzameld die niet (voldoende) noodzakelijk waren voor de doeleinden waarvoor Dataclient en AEOS worden ingezet, of werden deze langer bewaard dan nodig. Om dit te verhelpen is in kaart gebracht welke gegevens noodzakelijk zijn voor de verwerking. Er zijn voor alle gegevens bewaartermijnen vastgesteld, waarbij onderscheid is gemaakt tussen bezoekers, contractors en eigen werknemers. Waar mogelijk is het retentiebeleid in de systemen geautomatiseerd.  

Onderlinge afspraken met contractors

Dit was in het kader van de informatieplicht niet het enige risico. Een betrokkene werd niet (tijdig) geïnformeerd over het feit dat hij of zij in Dataclient of AEOS was opgenomen. Ook niet over de overige aspecten van de gegevensverwerking zoals de bewaartermijn, verwerkers en de genomen beveiligingsmaatregelen. Er zijn daarom goede afspraken met contractors gemaakt over wie de betrokkene informeert over de verwerking van zijn of haar gegevens in Dataclient en AEOS en er is een AVG-compliant privacy statement opgesteld dat vooraf aan de betrokkene wordt verstrekt.

Continu proces

Een DPIA uitvoeren is geen eenmalige exercitie, maar een continu proces. Het is noodzakelijk om te blijven monitoren of de gegevensverwerking in kwestie verandert. Bijvoorbeeld wanneer er een nieuwe technologie wordt toegepast of wanneer de persoonsgegevens voor een ander doel gebruikt gaan worden.