Privacy; hoe doen andere organisaties dat? 12 tips!

“Hoe doen andere organisaties dat?”

In veel situaties die te maken hebben met privacy krijgen wij de vraag: hoe doen andere organisaties dat?

In deze mail delen wij onze ervaring bij verschillende organisaties in diverse sectoren en geven wij een aantal tips/overwegingen op het gebied van:

  • Datalekken
  • Het verwerkingsregister
  • Artificial Intelligence (AI)

Datalekken

Iedere organisatie krijgt te maken met datalekken. Dat is niet te voorkomen. Het is wel zorg ze tijdig en correct af te handelen.

Proces

De meeste organisaties hebben een datalekproces ingericht, waarbij datalekken worden gemeld via applicaties als Zenya, Topdesk of Forms. Een tegel op intranet zorgt ervoor dat het formulier makkelijk vindbaar is. Deze werkwijze heeft de voorkeur omdat alle datalekken automatisch worden geregistreerd in één overzicht. Door taken toe te wijzen en deadlines aan te maken, wordt het makkelijker om tijdig (binnen 72 uur) te melden.

Tip 1: Laat datalekken niet bij één persoon, maar bij een team of loket binnenkomen. Dit voorkomt dat het datalek bij afwezigheid van die persoon blijft liggen. Het is een goed idee om datalekken bij een servicedesk binnen te laten komen of in privacy/security groepsmailbox.

Tip 2: Maak het meldformulier niet te ingewikkeld. Veel collega’s ervaren het melden als een drempel. Het is zaak om deze zoveel mogelijk te verlagen. In onze ervaring moet je de melder bijna altijd bellen voor aanvullende informatie. Dit vang je niet af met een uitgebreid formulier. Het formulier dient er alleen voor om snel een zicht te hebben op het risico en om prioriteiten te kunnen stellen.

Tip 3: In de praktijk zien wij dat organisaties meerdere manieren aanbieden om een datalek te melden. Dat heeft niet de voorkeur, maar mocht het niet anders kunnen, zorg er dan voor dat de meldingen in één overzicht terecht komen. Anders loop je kans datalekken te melden.

Wie meldt/beslist?

In het ideale plaatje meldt de Privacy Officer (PO) datalekken bij de Autoriteit Persoonsgegevens. Eventueel na consultatie van Functionaris Gegevensbescherming (FG).

Bij organisaties die geen Privacy Officer hebben, zien wij de FG meestal zelf melden. Dat is niet helemaal zuiver, omdat de FG een toezichthouder is en niet in de uitvoering zou moeten zitten.

Wie beslist of wel of geen melding wordt gedaan? In de meeste gevallen is dat de PO (of FG). Vaak hebben deze een zelfstandige bevoegdheid. Wat we ook regelmatig tegenkomen is dat de PO aan het bestuur/de bestuurder adviseert om te melden en de reactie afwacht. Hier wordt dus om goedkeuring gevraagd. Beide manieren zijn werkbaar als je maar niet vergeet dat het bestuur uiteindelijk verantwoordelijk is. Volgens ons is het belangrijk om hen te informeren over grotere datalekken.

Tip 4: Maak afspraken met je bestuurder over wanneer je wel of geen ‘datalekbeslissingen’ voorlegt. Spreek bijvoorbeeld af dat eenvoudige gevallen op eigen inzicht van de PO worden gemeld en dat bij meer complexe/gevoelige gevallen altijd eerst afstemming wordt gezocht met het bestuur of de bestuurssecretaris. Criteria hiervoor kunnen bijvoorbeeld het aantal betrokkenen of het type  gegevens zijn. Verwerk deze criteria in een classificatieschema voor extra houvast (zie tip hierna).

Tip 5: Het beoordelen van de risico’s van datalekken blijft altijd subjectief. Je kunt gelukkig meer objectiviteit inbouwen door het datalek risicoassesment van Ensia te gebruiken. Meer informatie vind je op de Ensia website.

Het verwerkingsregister

Als grotere organisatie moet je meestal al je verwerkingen bijhouden in een register. Je moet dit register kunnen tonen als de Autoriteit Persoonsgegevens daarom vraagt. Veel organisaties kiezen er daarnaast voor om het register te publiceren. Het geeft geen goede indruk als dit register (sterk) verouderd is. Of incompleet. Toch is dat meestal het geval. Er zijn maar weinig professionals die graag bezig zijn met het verwerkingsregister en meestal liggen prioriteiten elders.

Verantwoordelijkheid/proces

De grootste valkuil bij het verwerkingsregister is het toewijzen van de verantwoordelijkheid aan één persoon. Vooral als deze persoon niet wordt gefaciliteerd door de rest van de organisatie. Meestal is die persoon druk met allerlei privacytaken en schiet het register er bij in. Ook omdat ze vaak afhankelijk zijn van de informatie die (niet) wordt aangeleverd.

Tip 6: Verdeel de verantwoordelijkheid voor het actueel houden van het verwerkingsregister over de managers onder wiens terrein de verwerkingen vallen. Maak een beleid en proces om het register actueel te houden. Een Privacy Officer kan hierin ondersteunen door bijvoorbeeld jaarlijks te bespreken of het overzicht nog actueel is.

Tip 7: Het actualiseren van een verouderd register kan het beste als project worden opgepakt. Door wat extra ondersteuning te regelen vanuit een secretariaat of projectenbureau ben je vaak binnen een maand of drie weer bij.

Tip 8: Plan gesprekken met collega’s onder wiens verantwoordelijkheid meerdere verwerkingen vallen. Neem de collega’s bij de hand bij het verzamelen en registreren van de benodigde informatie.

Vorm

Wij hebben al heel wat vergaderingen meegemaakt over de opzet en inhoud van het verwerkingsregister. In de meeste gevallen is dat zonde van de tijd.

Tip 9: Als je geen, een incompleet of een verouderd register hebt, zorg dan eerst dat het minimale erin staat. De zaken die erin moeten staan opgesomd in artikel 30 van de AVG. Zie hier. Wil je meer informatie toevoegen? Bepaal dan of je dit informatie ook echt gebruikt.  Zie ook de volgende tip.

Tip 10: Gebruik het register van de Autoriteit Persoonsgegevens als voorbeeld! Omdat je er vanuit mag gaan dat de toezichthouder weet hoe je een goed register opzet, kun je hun register als voorbeeld gebruiken. Dit register is bovendien helemaal niet zo uitgebreid (11 pagina’s). Zie hier.

Applicatie

Je bent volledig vrij om het register in welke vorm dan ook in te richten. Je moet het alleen kunnen tonen wanneer de Autoriteit Persoonsgegevens daarom vraagt. De meeste organisaties kiezen nog steeds voor Excel. Dat is natuurlijk prima en vergt geen extra investeringen. Er zijn natuurlijk ook genoeg andere oplossingen op de markt. Kies wat voor jouw organisatie en de beheerder van het register werkt.

Tip 11: Mocht je op zoek zijn naar aparte tooling/een applicatie kies er dan één waarbij je taken kunt toewijzen aan collega’s. Zij ontvangen dan bijvoorbeeld een mailnotificatie met link om de verwerking in te voeren of na te kijken. Dit scheelt een hoop heen en weer ‘gemail’ met Excel vellen.

Artificial Intelligence (AI)

Sinds de lancering van ChatGTP in oktober 2022 worstelen veel organisaties hoe ze om moeten gaan met de inzet van dit soort AI-modellen en hulpmiddelen.

DPIA & IAMA

De Autoriteit Persoonsgegevens wijst op de verplichting om een DPIA uit te voeren voordat gebruik wordt gemaakt van AI-systemen waarbij persoonsgegevens worden gebruikt. Ze geven daarbij ook een overzicht van een aantal eisen waarmee rekening moet worden gehouden op grond van de AVG. Zie hier.

Als jouw organisatie een overheidsinstantie is, wordt daarnaast aangeraden om een Impact Assessment Mensenrechten en Algoritmes (IAMA) uit te voeren. Daarbij wordt ook naar mensenrechten en ethische kwesties gekeken.

Aandachtspunten

Het ver om in dit kader een uitputtende lijst van aandachtspunten te maken bij de inzet van AI-tooling in jouw organisatie, maar hierbij alvast wat aandachtspunten:

  • Gebruik het liefst anonieme data als input.
  • Kies heel zorgvuldig welke applicaties je wel en niet gebruikt, behandel ze als iedere andere applicatie die wordt geselecteerd.
  • Laat medewerkers weten wat je van medewerkers verwacht, wat is wel en wat is niet toegestaan, bijvoorbeeld door 5 gouden AI-regels op stellen.
  • Werk je privacy policy bij.
  • Zoek naar richtlijnen en handreikingen in jouw sector. Bijvoorbeeld de handreiking van SURF over chatbots, of de AI-handreiking van de Informatiebeveiligingsdienst (hier).

Tip 12: Wil je experimenteren met AI, dan zou je gebruik kunnen maken van Microsoft Copilot. Het voordeel van deze applicatie is dat deze (als het goed is) onder de verwerkersovereenkomst valt die al met Microsoft is gesloten.

Ben jij nieuwsgierig hoe andere organisaties bepaalde zaken oppakken rondom informatiebeveiliging en privacy? Bel ons dan gerust even op 085 06 08 419.