Archief laten digitaliseren en de Meldplicht Datalekken; waar moet u op letten?

BramDoor Bram Groenendijk op 12 augustus 2016

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. In deze blog een aantal concrete tips waar u op moet letten als u overweegt uw archief door een externe organisatie te laten digitaliseren.

Bewustwording

De meldplicht is als het goed is geen ‘gamechanger’ voor de policy omtrent informatiebeveiliging binnen een organisatie. Van een professionele organisatie die vertrouwelijke data bezit, verwerkt of door derden laat bewerken, mag immers verwacht worden dat men zich er van bewust is dat zorgvuldige omgang met deze informatie een eerste vereiste is.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens waarmee een persoon kan worden geïdentificeerd. Een persoon kan worden geïdentificeerd als degene die de persoonsgegevens gebruikt de persoon kan identificeren en hiervoor geen bijzondere inspanning hoeft te leveren.

De wet maakt een onderscheid tussen ‘gewone persoonsgegevens’ en ‘bijzondere persoonsgegevens’. De zogenaamde gewone persoonsgegevens zijn bijvoorbeeld  NAW-gegevens of mailadressen. Bijzondere persoonsgegevens zijn gegevens als BSN-nummer, geloofsovertuiging of informatie omtrent een strafrechtelijk verleden.

Het  scannen en/of indexeren van archieven die persoonsgegevens bevatten valt onder het verwerken van persoonsgegevens

Wie is verantwoordelijk en aansprakelijk?

Als u de digitalisering gaat uitbesteden, beschouwt en ziet de wet u als ‘verantwoordelijke’. De organisatie die de digitalisering gaat uitvoeren wordt door de wet aangeduid als ‘bewerker’. Voor de wet blijft de organisatie die de gegevens heeft uitbesteedt dus als verantwoordelijke gezien. In een zogenaamde ‘bewerkersovereenkomst’ kunnen de consequenties voor de aansprakelijkheid echter wel (deels) worden ‘verlegd’ naar de organisatie die de digitalisering uit gaat voeren. Daarnaast is de bewerker voor de wet ook zelfstandig aansprakelijk.

Als u dus archief met persoonsgegevens extern wilt laten digitaliseren, moet u een bewerkersovereenkomst opstellen. Er zijn genoeg bruikbare en duidelijke formats op het internet te vinden.

Wat staat er in de bewerkersovereenkomst?

Een bewerkersovereenkomst is verplicht als er sprake is van bewerking van persoonsgegevens (lees: digitaliseren van archief wat persoonsgegevens bevat). De bewerkersovereenkomst bevat de volgende zaken:

a. De partijen en de aard van de bewerking; een beschrijving wie aan wie de opdracht heeft gegeven. Daarnaast dient te worden aangegeven voor welke werkzaamheden u de opdracht heeft gegeven; het digitaliseren en/of indexeren van archief.
b. Geheimhouding; een geheimhoudingsclausule die van toepassing is voor de organisatie die de digitalisereng gaat uitvoeren. U kunt deze geheimhoudingsclausule eventueel aanvullen met een boeteclausule bij overtreding of datalekken.
c. Beveiligingsmaatregelen; een beschrijving van technische en procedurele maatregelen die in het integrale proces zijn aangebracht om veilige verwerking te garanderen en datalekken van persoonsgegevens te voorkomen.
d. Betrokken derden en onderaannemers; bepaling of, en onder welke voorwaarden, de organisatie die de digitalisering gaat uitvoeren derden of onderaannemers mag inschakelen. Eventueel kunt u dit aanvullen met de eisen waaraan derden of onderaannemers moeten voldoen.
e. Locatie van data en bewerking; u als verantwoordelijke moet weten waar (in welk land of landen) de gegevens zijn opgeslagen. Dit is mede van belang met het oog op de wetgeving die van toepassing is bij doorgifte van persoonsgegevens naar het buitenland.
f.  Controle op naleving; u als verantwoordelijke moet de gemaakte afspraken kunnen controleren. Dit kan middels een onderzoek of audit. U kunt bijvoorbeeld opnemen dat u op elk gewenst moment dat de bewerking plaatsvindt on-site wilt kunnen controleren hoe dit gebeurt.
g. Aansprakelijkheid; hierin kunt u stellen dat u – ook al bent u wettelijk gezien aansprakelijk – eventuele gevolgschade tot een bepaalde orde van grootte wilt kunnen verhalen op de organisatie die verantwoordelijk is voor de digitalisering van archieven met persoonsgegevens.

Aanbevelingen

Als u uw archief met persoonsgegevens door derden wilt laten digitaliseren, doen wij u de volgende aanbevelingen:

  1. Betrek in vroeg stadium functionarissen in uw organisatie die expertise bezitten over het te voeren informatiebeveiligingsbeleid.
  2. Formuleer gezamenlijk de eisen die u aan een partij stelt om veiligheid van persoonsgegevens bij bewerking te borgen.
  3. Nodig verschillende marktpartijen uit en laat behalve een offerte een procesbeschrijving opstellen door de individuele partijen.
  4. Toets in hoeverre het beschreven proces voor u voldoet in relatie tot de veiligheid van persoonsgegevens.
  5. Behalve het proces adviseren wij u om ook te kijken naar de referenties van de organisaties. Beoordeel daarnaast de mate waarin technische en procedurele beheersmaatregelen beschreven zijn die de organisatie heeft genomen om veiligheid van persoonsgegevens te borgen. Ook certificeringen (ISO9001, ISO27001, NEN-7510) zijn belangrijke graadmeters dat men u niet slechts een verhaal vertelt, maar op beleidsmatig niveau aandacht heeft voor dataveiligheid.
  6. Vraag of het mogelijk is om security penetration tests uit te voeren om dataveiligheid van de technische omgeving van de organisatie te controleren.
  7. Voer na gunning een pilot uit waarin behalve de technische procedures ook wordt beoordeeld of de procedures voor informatiebeveiliging in orde zijn en verlopen zoals beschreven in de procesbeschrijving.
  8. Stel de bewerkersovereenkomst in goed overleg tussen beide partijen op en refereer hiernaar in een op te stellen inkooporder of contract.
  9. Blijf gedurende het proces controleren of de procedures gehandhaafd blijven zoals deze in het voortraject beschreven zijn.
  10. Voer na afloop van een project een gezamenlijk evaluatiegesprek en geef feedback voor verbetering van processen met betrekking tot informatiebeveiliging als er in de praktijk ‘weak-spots’ in het proces zijn aangetroffen.
Bram
Bram Groenendijk Bram Groenendijk is directeur van GMS. Hij is verantwoordelijk voor de algemene zaken binnen de organisatie. Vanwege zijn technische achtergrond en ervaring is hij meer dan eens betrokken bij complexe projecten.

Plaats een reactie

Lees ook