Bescherming persoonsgegevens, wie is verantwoordelijk?

9 juni 2017

Wie persoonsgegevens behandelt, is verplicht aan de strengere regelgeving te voldoen die de Algemene Verordening Gegevensbescherming (AVG) voorschrijft. In deze tweede blog over de nieuwe wet die volgend jaar ingaat, zoomen we in op de verantwoordelijkheden van verschillende partijen die betrokken zijn bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens. Waar begint en waar eindigt uw en onze verantwoordelijkheid?

Artikel 4 van de AVG beschrijft twee rollen, die van de controller en van de processor. Wanneer uw bedrijf persoonsgegevens opvraagt of verwerkt, wordt u gezien als de controller, ongeacht of u zelf direct data verzamelt. Een bank verzamelt data van klanten als ze een rekening openen; een supermarkt wanneer die een klantenpas uitreikt in ruil voor klantgegevens. Beide organisaties zijn verantwoordelijk voor de persoonlijke data van deze klanten.

Intermax is – wanneer wij data voor u beheren, opslaan, transporteren of verwerken – de processor. De datacentra die wij inzetten om onze servers (waarop uw gegevens staan) in te plaatsen, zijn vaak de sub-processor.

U bent als controller volgens de AVG verantwoordelijk voor:

1. Het verzamelen van de gegevens en het toestemming hebben/verkrijgen van de persoon van wie de gegevens zijn.
2. Het zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen, en dat ze adequaat worden beveiligd.
3. Het verwijderen van data op verzoek van de persoon van wie de data is.
4. Het aangeven aan Intermax welk niveau van beveiliging vereist is. Uiteraard kunnen we u hierbij adviseren en helpen.

Intermax is als processor volgens de AVG verantwoordelijk voor:

1. Het fysiek opslaan van de gegevens en de bewaking ervan, zodat er geen onrechtmatige toegang door derden plaatsvindt.
2. Het zorgen dat ook sub-processoren (bijvoorbeeld een datacentrum) hieraan voldoen.
3. U te informeren als er afwijkingen of privacy-incidenten zijn.
4. Het beoordelen en afhandelen van vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD).

Een voorbeeld

U bent directeur van een onderwijsinstelling en u heeft een groot bestand met de NAW-gegevens van de ouders. Uw bestand bevat ook informatie over de kinderen en de locatie waar ze naar school gaan. Deze gegevens kunnen via een portaal worden geraadpleegd door een leerplichtambtenaar. Ook gebruikt de onderwijsinstelling deze gegevens om uitnodigingen aan ouders te sturen voor evenementen. Het online portaal wordt afgenomen als een Software-as-a-Service (SaaS) dienst bij een softwareontwikkelaar en dit systeem draait bij Intermax.

Voor de juistheid van de gegevens en het verkrijgen van toestemming is de controller verantwoordelijk: degene die de gegevens heeft verzameld en die het online portaal exploiteert, in dit voorbeeld de school. De softwarebouwer van het portaal is als processor verantwoordelijk voor het correct versleutelen van de opgeslagen gegevens. Intermax is als sub-processor verantwoordelijk voor de beveiliging van de servers waar de SaaS omgeving op draait.

In de praktijk zal het er op neerkomen dat een hostingbedrijf een groot deel van de beveiliging en de controle hiervan voor haar rekening neemt. Zo wordt er intensief samengewerkt met de SaaS leverancier, die vervolgens de exploitant van het portaal weer op de hoogte stelt hoe deze de software dient te gebruiken. Ook zal de SaaS leverancier tools moeten aanbieden om de controller in de gelegenheid te stellen makkelijk gegevens te kunnen laten verwijderen.

Wat gebeurt er nu wanneer zo’n portaal onverhoopt gehackt zou worden, door bijvoorbeeld een programmeerfout?

Wanneer alle beveiligingsmaatregelen goed zijn toegepast zal Intermax merken dat er iets niet in de haak is, bijvoorbeeld door de inzet van een Canary (die alarmeert bij ‘ongepast gedrag’). Dankzij 24-uurs bewaking zal Intermax direct contact opnemen met de SaaS leverancier en de eigenaar van de data om de afwijking te melden. Vervolgens is de controller aan de beurt om eventueel een datalek te melden, waarbij hij ondersteund wordt door logfiles en digitaal forensisch bewijs van Intermax.

Meer blogs uit onze blogserie over de AVG:

Voldoen aan de AVG. Waar moet ik beginnen?

Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Hoe zorg ik dat ik een datalek op tijd herken?

De vier belangrijkste gevaren van Shadow IT

Intermax Redactie