MENU

Uw toegangsmanagement in control, ook na 25 mei

blog
  • Project & System Integration
  • Workflow & Identity
  • Performance & Maintenance
  • Observation & Control
  • Insourcing
    25 mei 2018

    De nieuwe wetgeving Algemene Verordening Gegevensbescherming (AVG) heeft natuurlijk veel impact op data en persoonsgegevens, maar daarnaast ook op toegangscontrole en identiteitsmanagement. Hoe blijven organisaties in control? Samen met de experts van Privacy Management Partners denkt Nsecure met u mee over hoe wij uw systemen kunnen voorbereiden op de AVG. De komende dagen nemen wij u in een aantal blogs mee in de belangrijkste aandachtspunten.

    nsecure-control-observation-2

    Hugo Gerritse (Information Security & Quality Consultant) en Jan Winus van Roode (Business Development & IT) zien vooral dat organisaties het lastig vinden de vertaalslag te maken van de AVG-regels naar alledaagse handelingen op de werkvloer. Voor organisaties is het een hele klus om in kaart te brengen waar persoonsgegevens worden verwerkt, wie er toegang tot heeft en hoe lang deze gegevens worden bewaard. Voldoen aan de AVG valt of staat met bewustzijn van medewerkers en partijen waarmee een organisatie samenwerkt.

    Het proces in kaart brengen
    “De AVG draait om het proactief uitdenken van wat je met persoonsgegevens wilt doen en daar ook over te communiceren,” stelt drs. Joris Hutter (partner bij Privacy Management Partners). Iedere organisatie kent haar eigen processen. En niet alleen het proces is van belang, maar ook het benoemen van fases of onderdelen in het proces. Waar vallen bepaalde systemen of oplossingen onder? Wat mag men met gegevens doen die hieruit voortkomen? Wie heeft toegang tot de gegevens en worden de gegevens nog met anderen gedeeld? “Een voorbeeld is cameratoezicht. Dit valt onder de noemer ‘volgsystemen’. Uiteraard kunnen organisaties camera’s plaatsen in en rondom een locatie. Het gaat er vooral om dat mensen hiervan op de hoogte zijn en dat je kunt onderbouwen wat er met deze beelden wordt gedaan. Hoelang worden deze beelden bewaard? Met welk doel? En worden deze beelden ook gedeeld met andere partijen?”

    Wie heeft er nog meer toegang tot gegevens?
    Nadat het proces in kaart is gebracht, dienen bedrijven te kijken naar de samenwerkingen die zij hebben met externe partijen. Denk aan beveiliging, receptiediensten of marketingbureaus. Wanneer deze externe partij gegevens uit het beveiligingsproces verwerkt, moeten er duidelijk vastgelegde afspraken met die partij gemaakt zijn. Deze afspraken staan in een verwerkersovereenkomst. Hutter: “Wanneer een extern beveiligingsbedrijf de toegangscontrole bemant, moeten er instructies zijn voor wat dit bedrijf met de gegevens mag doen en wat dit bedrijf onderneemt om die gegevens te beschermen. Daarbij komt dat iedereen waarvan gegevens wordt verwerkt, het recht heeft om te weten welke gegevens dit zijn. Indien nodig kan deze persoon de gegevens laten corrigeren of verwijderen. Hier dien je als organisatie procedures voor te hebben.”

    Het uitvoeren van een Privacy Impact Analyse
    Over het algemeen is het uitgangspunt: hoe hoger de (mogelijke) impact op privacy of veiligheid, hoe strikter de benodigde maatregelen. Om die reden dienen organisaties in een aantal situaties een Privacy Impact Analyse (PIA) uit te laten voeren. De mate van het risico is per situatie verschillend, bijvoorbeeld door de aard van de verwerking doordat er kans is op diefstal of fraude, de omvang zoals grote aantallen, de context of het doel van de verwerking omdat informatie bijvoorbeeld gebruikt wordt voor besluitvorming.

    In het bijzonder is een PIA nodig bij:

    • Grootschalige verwerking van bijzondere gegevens;
    • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die gebaseerd is op geautomatiseerde verwerking (bijvoorbeeld profiling) en daarop gebaseerde beslissingen die die personen raken;
    • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

    Voor cameratoezicht in openbare ruimtes is een PIA verplicht. Ook bij observation dienstverlening is er vaak sprake van een hoger risico als het om privacygevoelige informatie gaat en is een PIA verplicht. Veel organisaties hebben deze analyses al uitgevoerd in aanloop naar de AVG, maar uiteraard blijft het resultaat van belang. Gegevensverwerkingen of inzichten kunnen wél veranderen en daarmee ook de uitkomst van de PIA. Een aanpassing of nogmaals uitvoeren van de PIA kan dan nodig zijn.


    In gesprek over onduidelijkheden
    In sommige situaties is het lastig om de uitgangspunten die in de AVG zijn opgenomen op de juiste manier te interpreteren. Het toepassen van bijvoorbeeld biometrie bij toegangscontrole is toegestaan onder bepaalde voorwaarden. Echter, die voorwaarden, zoals noodzaak en proportie, zijn multi-interpretabel. Kortom, voldoende onderwerpen om te overdenken.

    Vanaf 25 mei treedt de AVG in werking. Samen met Privacy Management Partners denken wij met u mee om AVG compliant te zijn, zonder dat u daarvan hinder ondervindt. De komende weken publiceren wij een aantal blogs over AVG in relatie tot specifieke onderwerpen rondom access control. Wilt u op de hoogte blijven of meer weten over dit onderwerp? Volg ons via LinkedIn of Twitter of neem contact op via info@nsecure.nl.

    Bekijk hier onze 10 aandachtspunten voor de AVG. button

    • Project & System Integration
    • Workflow & Identity
    • Performance & Maintenance
    • Observation & Control
    • Insourcing