010 - 284 6123

De onvermoede kanten van de AVG

De algemene verordening gegevensbescherming (AVG) is nu dik een half jaar van kracht. In relatief korte tijd heeft de AVG een behoorlijke impact gekregen: organisaties hebben veel meer aandacht voor security. Toch merken we in de praktijk dat er essentiële zaken over het hoofd worden gezien. En tegelijkertijd worden er ook onnodige maatregelen genomen uit naam van de AVG.

Ondanks de digitalisering werken veel bedrijven toch nog met gevoelige informatie op papier. Denk maar aan het inschrijfformulier op de balie, waarmee elke bezoeker wordt geregistreerd. Een interessante lijst, want iedereen kan zien wie er tot dan toe op bezoek is (geweest): naam, bedrijfsnaam en kenteken, contactpersoon, tijd van aankomst en tijd van vertrek. Daar kunnen mensen tussen zitten waarvan het bezoek gevoelig kan liggen, bijvoorbeeld concurrenten.

Een ander voorbeeld is omgang met personeelsdossiers. Als die gedigitaliseerd zijn, voldoet het geheel over het algemeen wel aan de AVG. Het gaat immers om gevoelige persoonsgegevens, tot en met kopieën van identiteitsbewijzen aan toe. Maar in de praktijk zijn de hr-processen al te vaak hekkensluiter in de digitalisering met als gevolg dat de dossiers nog op papier staan. Ze blijven makkelijk rondslingeren – het wordt zwerfinformatie – en van AVG-compliancy is geen sprake.

Geen commerciële prioriteit
Het zijn twee voorbeelden van werkprocessen die makkelijk aan de aandacht ontsnappen. Ze hebben geen commerciële prioriteit, zoals het inkoopproces dat altijd gedigitaliseerd is. De terugverdientijd daarvan is voor iedereen duidelijk. Dan zien we nog steeds het hardnekkige gebruik van Dropbox, WeTransfer en dergelijke voor de uitwisseling van bestanden. Voor werknemers zijn het bijzonder makkelijke hulpmiddelen om snel bestanden uit te wisselen.

Ze zijn alleen net zo onveilig als ze makkelijk zijn. Wie denkt informatie uit te wisselen die voor anderen geen waarde heeft, moet toch nog eens goed nadenken. Zo waarschuwt de AIVD al jaren voor digitale bedrijfsspionage, door ‘statelijke actoren’: aanvallers die door buitenlandse overheden worden gesteund. Maar bedenk ook dat Amerikaanse autoriteiten data op Amerikaanse uitwisselings- en opslagplatforms kunnen lezen.

Versleuteling maakt ontoegankelijk
Er bestaan natuurlijk oplossingen voor bestandsuitwisseling die wel veilig zijn. Die zorgen voor automatische versleuteling en er zijn mogelijkheden voor two-factor authenticatie of zelfs multi-factor authenticatie. Dat maakt het de gebruiker niet echt makkelijk maar het is wel veel veiliger. Gebruikers willen juist een manier om zonder allerlei gedoe bestanden uit te wisselen, en gratis is natuurlijk altijd goed. Toch is er veel belangstelling voor deze oplossingen. Ook al kost het geld, blijkbaar realiseren steeds meer organisaties dat ze echt een alternatief moeten hebben dat aansluit bij de AVG.

Balkje over gevoelige data
Voor de processen die ondanks alles nog van papier gebruikmaken zijn er goede digitale oplossingen. Denk aan een digitaal bezoekersregistratiesysteem. Bezoekers kunnen zich via QR-code op de smartphone registreren, en alle gegevens worden AVG-proof opgeslagen. Behalve voor geautoriseerde medewerkers is de bezoekersregistratie door niemand meer te bekijken.

Ook HR-processen zijn veilig te automatiseren. Het is zelfs mogelijk om met een Secure ID-app identiteitsbewijzen te scannen, waarbij automatisch een zwarte balk over het BSN-nummer wordt gezet. Het resultaat kan verder conform de AVG in het digitale proces worden gebruikt.

Het zekere voor het onzekere
Als leverancier merken we – en we weten ook dat andere leveranciers ermee te maken hebben – dat veel klanten het zekere voor het onzekere nemen als het om de AVG gaat. Het gevolg is dat zij hun leveranciers om een verwerkersovereenkomst vragen, ook als dat helemaal niet nodig is. Wij krijgen die vraag als we bijvoorbeeld printers, inclusief harddisk en apps installeren. Maar wij verwerken helemaal geen gegevens, dat doet de klant en die is en blijft daar dan ook verantwoordelijk voor.

Als zij géén gegevens van de klant verwerken, hoeven leveranciers van gegevensverwerkende apparatuur en applicaties dus ook geen verwerkersovereenkomst te tekenen met die klant. Het kan zijn dat bij het verlenen van support de leverancier inzage krijgt in persoonsgegevens. Daarmee belanden we in een grijs AVG-gebied: we verwerken die gegevens weliswaar niet, maar hebben er als derde partij wel toegang toe. Zelf hebben we dat opgelost door met de klant goede afspraken te maken over de vereiste privacybescherming.

De AVG kent nog grijze gebieden en dat bedrijven liever het zekere voor het onzekere nemen is begrijpelijk gezien de consequenties die de AVG kan hebben. En het loont om bij twijfel een expert te raadplegen. Tot slot: de AVG heet niet voor niets zo, alle gegevens vallen eronder, dus óók als die nog op papier staan.