Welke risico's zijn er en hoe verklein je ze?

Leestijd
11 minuten

Wat leer je?
In dit onderdeel leer je hoe je kunt zorgen dat alleen de juiste mensen bij de juiste gegevens kunnen. Zowel in situaties waarin jij gegevens van anderen nodig hebt, in situaties waarin iemand anders gegevens van jou nodig heeft en hoe je veilig met data van jouw organisatie om dient te gaan.

Samenvatting
Zodra je (persoons)gegevens van een ander gebruikt voor jouw werk, moet je zorgen  dat je daar een goede grondslag, ofwel een geldige reden voor hebt, dat je niet meer gegevens gebruikt dan je strikt noodzakelijk voor jouw doeleinden nodig hebt en dat de betrokkenen weten dat hun gegevens voor die doeleinden gebruikt worden. Ga je (persoons)gegevens van anderen delen, zorg dan dat wat en met wie je deelt past bij het oorspronkelijke doel waarmee de gegevens verzameld zijn, dat de betrokkenen weten met wie hun gegevens gedeeld worden en dat je ze alleen met de juiste personen deelt.

Om veilig met gegevens te kunnen werken is het belangrijk dat je op de hoogte bent van de classificaties van informatie en per type classificatie de spelregels kent die voor jouw functie van belang zijn. Let daarbij op dat een veilige omgang met gegevens niet alleen op digitale documenten slaat, maar ook betrekking heeft op bijvoorbeeld een volgeschreven whiteboard, een kast in een kantoor of documenten die in een prullenbak liggen. En mocht je per ongeluk toch een datalek veroorzaken, dan is het van groot belang om dit direct bij [naam/contactgegevens persoon/afdeling invoegen] te melden.


 

Datalekken

Het delen van gegevens met mensen die daar geen toegang toe zouden moeten hebben is een datalek. De potentiële impact van een datalek op alle betrokkenen is gigantisch, kijk maar eens naar de discussie over een mogelijke app om het Corona-virus op te sporen:

 

 

Datalekken die binnen onze onderwijsinstelling voorkomen hebben op minder mensen impact dan een datalek in bijvoorbeeld een 'Corona-app', maar hoeven daarom niet minder ernstig voor de direct betrokkenen te zijn. Gelukkig kun je op vrij eenvoudige wijze ervoor zorgen dat je de kans op een datalek binnen je eigen werkzaamheden minimaliseert, en daarmee een zo veilig mogelijke omgang met jouw eigen gegevens en de gegevens van andere garandeert.


 

Kun jij per scenario bedenken wat de belangrijkste handelingen zijn waarmee je een datalek kunt voorkomen?

Ik wil persoonsgegevens verzamelen. Waar moet ik op letten?

Iedereen heeft gedurende zijn of haar werkzaamheden wel eens persoonsgegevens van een ander nodig. Bijvoorbeeld omdat je als onderzoeker video-opnames van personen moet maken, omdat je als vertrouwenspersoon een kort verslag van een gesprek met een medewerker maakt of simpelweg omdat je een verjaardagskalender voor jouw afdeling op wilt hangen.

Het verzamelen van persoonsgegevens mag zeker niet zomaar. Ook niet als het verzamelen in het kader van formele werkzaamheden plaatsvindt. Het verzamelen van onderzoeksgegevens die (deels) uit persoonsgegevens bestaan moet aan dezelfde beginselen voldoen als het smoelenboek dat een docent jaarlijks van studenten maakt. Die beginselen zijn niet ingewikkeld, maar wel van groot belang indien je persoonsgegevens van anderen wilt gebruiken.

Wat denk jij dat de zes belangrijkste beginselen zijn indien je persoonsgegevens van een ander wilt gebruiken?

 

De basis is dat je voor het verzamelen van persoonsgegevens:

1. Grondslag

Een grondslag hebt. Heb je een geldige reden? De wet kent 6 grondslagen, bijvoorbeeld de overeenkomst, zoals je contract, een wettelijke grondslag om gegevens te verwerken (zoals de gegevens die je aan de Belastingdienst dient door te geven) of toestemming. Bij ‘toestemming’ als grondslag moet je er goed op letten dat de toestemming vrijelijk en goed geïnformeerd gegeven wordt en dat de persoon de toestemming ook altijd weer moet kunnen intrekken. Daarnaast moet je altijd kunnen aantonen dat je toestemming hebt gehad voor het verzamelen van persoonsgegevens. Toestemming heb je dus niet voor altijd, iemand kan de toestemming ook weer intrekken.

2. Dataminimalisatie

Niet meer gegevens verzamelt dan je nodig hebt om je doel te bereiken. Ieder doel zou een gerechtvaardigd doel kunnen zijn, maar je moet kunnen verantwoorden waarom je de gegevens opvraagt. Bijvoorbeeld als een student naar het buitenland gaat dat je dan ook de gegevens van ouders opvraagt om een achtervang te hebben voor noodsituaties. Maar bij een open dag mag je bijvoorbeeld niet willekeurig allerlei persoonsgegevens van potentiële studenten opvragen; dat is geen gerechtvaardigd doel.

3. Doelbinding

De persoonsgegevens alleen voor dat doel gebruikt waarvoor ze verzameld zijn. Bijvoorbeeld in het geval studenten binnen de eigen instelling als student-assistent aan het werk gaan. Je mag dan de gegevens uit de studentenadministratie hier niet voor gebruiken. De student moet opnieuw de eigen gegevens bij de personeelsadministratie aanleveren. Een ander voorbeeld zijn e-mailadressen van stagebedrijven: deze mag je niet zomaar gebruiken om hen op te hoogte te stellen van allerlei evenementen, congressen, etc.

4. Beveiliging

Dat je altijd zorgt voor een passende bescherming/beveiliging, zoals toegangsbeperking, encryptie, 2FA, etc., met als doel om datalekken zoveel als mogelijk te voorkomen.

5. Transparantie

Dat je de betrokkenen (de personen van wie je de persoonsgegevens verwerkt) vooraf altijd vertelt waarvoor je de gegevens nodig hebt, met wie je deze gaat delen en hoelang ze gaat bewaren. Dat zal niet in iedere situatie heel formeel gaan (zoals bij het opnemen van collega's op een verjaardagskalender of het toevoegen van personen in een WhatsApp groep), maar wees je er bewust van dat het jouw verantwoordelijkheid is om de betrokkenen op de hoogte te stellen hoe je met hun gegevens om gaat. Ook bij wijzigingen in het gebruik van hun persoonsgegevens die je hen altijd op de hoogte te stellen (en mogelijk opnieuw om toestemming te vragen als het doel wijzigt).

6. Bewaartermijn

én dat je de persoonsgegevens daadwerkelijk laat archiveren of verwijdert als je ze niet meer nodig hebt. Als er geen legitieme bewaartermijn is moet je ze direct weggooien na het bereiken van je doel.

 

 

Ik wil gegevens delen. Waar moet ik op letten?

Nadat je persoonsgegevens verzameld hebt die passen bij jouw doelstelling wil je ze gaan delen. Bijvoorbeeld door ze op de verjaardagskalender te zetten, door ze te publiceren in een onderzoeksrapport, door ze te gebruiken binnen die nieuwe app voor studenten of door de gevraagde medische dossiers naar de bedrijfsarts te sturen. Maar wat zijn daarbij de regels? Op welke manier mag je gegevens eigenlijk delen?

Het lijkt zo logisch: even dat WhatsApp groepje aanmaken, dat bestandje naar die externe partij te sturen zodat ze snel verder kunnen met jullie project. Maar het delen van persoonsgegevens is niet niks. In ons digitale tijdperk kan een verkeerde actie grote gevolgen hebben. Dat betekent niet dat we minder data met elkaar moeten delen, maar wel dat we ons goed bewust moeten zijn van de risico's als het fout gaat.

Wat denk jij dat de drie belangrijkste aandachtspunten zijn bij het delen van persoonsgegevens met anderen?

 

1. Past het bij het oorspronkelijke doel waarvoor de persoonsgegevens verzameld zijn?

Ga je persoonsgegevens delen met anderen, vraag je dan af of het doel van de verspreiding van de persoonsgegevens (nog) past bij het oorspronkelijke doel waarmee de gegevens ooit verzameld zijn. Wellicht is die lijst met e-mailadressen van studenten oorspronkelijk niet vastgelegd om te uploaden in die nieuwe leuke app. Of is het smoelenboek niet bedoeld om vragen voor die vrijdagmiddag-pubquiz mee te bedenken. Dit geldt ook voor documenten die je met externen wilt delen; als het document met de persoonsgegevens in beginsel niet is bedoeld om met externen te delen mag je dit ook niet zomaar doen.

2. Stel mensen op de hoogte

Wil je persoonsgegevens gaan delen met anderen (intern of extern), zorg dan dat de betrokkenen waarvan je de gegevens gaat delen op de hoogte zijn waarom, waar, met wie en voor hoe lang je deze gegevens gaat delen.

3. Deel alleen met de juiste personen

Klinkt heel logisch, maar dit gaat vaak per ongeluk toch fout. Dat ene mailtje naar de verkeerde externe ontvanger, het verkeerde postadres, dat vergeten printje met persoonsgegevens onder de printer of je laptop die je met dat Excel-bestand van HR toch even open laat staan tijdens je toiletbezoek. Werk je met persoonsgegevens, wees dat extra alert op een veilige omgang met die data. En gaat het toch een keer mis, meldt dit dan altijd bij [contactgegevens invoegen].

 

 

Ik wil veilig met gegevens omgaan

Iedere organisatie kent gradaties in de vertrouwelijkheid van informatie. Bepaalde informatie staat publiekelijk op de website, andere informatie is alleen via intranet bereikbaar en weer andere informatie is alleen beschikbaar voor de Raad van Bestuur; ieder type informatie heeft dus een specifieke 'classificatie'. Afhankelijk van je functie heb je toegang tot bepaalde informatie en het is daarbij belangrijk dat je weet wat de spelregels zijn voor ieder type 'classificatie'.

Met wie mag je bepaalde informatie delen? Wat zijn de vereisten voor het delen van die informatie? En wat zijn de mogelijke risico's als je bepaalde informatie met niet-bevoegde personen deelt? Deze vragen hebben niet alleen betrekking op digitale documenten, maar op eigenlijk alle informatie binnen onze organisatie. Ook een vol whiteboard na een vergadering, de inhoud van je prullenbak en die openstaande kast met archiefmappen in je kantoor vallen hieronder.

Wat denk jij dat de vier belangrijkste aandachtspunten zijn om een veilige omgang met informatie te waarborgen?

 

1. Ken je autorisatie en weet de spelregels voor alle classificaties

Iedere medewerker heeft toegang tot bepaalde informatie binnen de organisatie. Een HR-medewerker kan personeelsdossiers inzien, een controller weet hoe de financiën ervoor staan en een docent kent de studievoortgang van de studenten. We kennen binnen onze organisatie verschillende typen informatie: publieke informatie, interne informatie, gevoelige informatie en geheime informatie [hier zelf de classificaties invoegen]. De regels voor de omgang met ieder type informatie zijn beschreven in het protocol [titel en locatie document met classificatie-regels invoegen]. Lees dit protocol goed door, zodat je weet hoe je een veilige omgang met alle informatie waar jij binnen je functie toegang toe hebt kunt garanderen.

2. Bescherm de toegang tot informatie

Door het hanteren van een goede 'hygiëne' in de omgang met alle informatie binnen onze onderwijsinstelling voorkom je de meeste risico's op datalekken. In de verschillende modules binnen deze cursus zijn de basisbeginselen daarvoor al besproken: zorg altijd voor up-to-date software, encrypt je harde schijven, synchroniseer je zakelijke cloud niet op je privé apparatuur en maak geen gebruik van openbare wifi-netwerken, tenzij je van een VPN-verbinding gebruik maakt. Dit geldt ook voor analoge informatie, zoals whiteboards en flip-overs, open kasten en bureaulades, niet gelockte laptops, etc.

3. Leen je zakelijke apparatuur niet uit

Vooral niet in je thuissituatie. Het lijkt zo makkelijk, even je zakelijke laptop aan je huisgenoten geven om die leuke Netflix-film te kijken. Maar precies op dat moment komt er een notificatie van je werk binnen, er wordt op geklikt en plots zit je huisgenoot midden in een e-mailconversatie. Kinderen die even dat nieuwe spelletje op je zakelijke telefoon downloaden, met alle risico's op het binnenhalen van ransomware. Of de pubers bij je in huis, die voor de grap een 'grappige' sms op je telefoon terugsturen naar je leidinggevende met alle gevolgen van dien. Hanteer voor zakelijke apparatuur het eenvoudige principe: nooit uitlenen.

4. Melden, melden, melden!

En zeker, het kan bij iedereen een keertje fout gaan. Onbewust en ongewild stuur je informatie door naar de verkeerde persoon, klik je toch op dat verdachte linkje of vergeet je jouw laptop in de trein. Samen kunnen we naar de beste oplossing kijken, maar dan moet wel duidelijk zijn wat er precies gebeurd is. Maak van ieder vermoeden van een datalek melding bij [contactgegevens invoegen]. Liever een keer teveel melding gedaan dan te weinig, privacy en security blijft nou eenmaal mensenwerk.