Iedereen die met processen en systemen te maken heeft, weet dat persoonsgegevens beschermd moeten worden. Tot nu toe hielden we ons aan de Wet bescherming persoonsgegevens (Wbp), die sinds 1 september 2001 van kracht is.

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Die wet is de Nederlandse uitwerking van de Europese richtlijn met betrekking tot privacywetgeving (GDPR) die geldt in de hele Europese Unie (EU). De huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

In dit artikel stippen we enkele belangrijke wijzigingen aan en kijken we wat de gevolgen zijn voor de tester. Details over de AVG kun je vinden bij de Autoriteit Persoonsgegevens.

De AVG in het kort

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Een organisatie mag niet ‘zomaar’ gegevens over een persoon vastleggen. Aan die vastlegging en verwerking stelt de wet duidelijke eisen.

De grondslag

Dit is de basis waarop je gegevens verzamelt. Deze basis moet uitdrukkelijk bepaald zijn en de persoon moet toestemming geven voor vastlegging. Verder beschrijft de wet een aantal aspecten, zoals de overeenkomst en het algemeen en vitaal belang van het vastleggen.

Zorgvuldigheid

Bij het ontwerpen en inrichten van processen en systemen waarbij persoonsgegevens worden vastgelegd en bewerkt, dien je rekening te houden met de privacywetgeving. De wet schrijft in gespecifieerde situaties voor dat je een functionaris voor de gegevensbescherming aanstelt en dat je een risicoanalyse uitvoert op de privacyaspecten.

Verplichtingen

Je moet kunnen aantonen dat je aan de AVG voldoet. Hiertoe dien je een register bij te houden met alle verwerkingen van persoonsgegevens. Je dient een beleid voor gegevensbescherming op te stellen en te zorgen voor beveiligingsmaatregelen, zowel procesmatig al digitaal.

Rechten van betrokkenen

De mensen waarvan je persoonsgegevens vastlegt en bewerkt, krijgen (meer) rechten om controle uit te oefenen. Denk aan het recht om te wijzigen, over te dragen en het recht om vergeten te worden.

Belangrijkste wijzigingen

Persoonsgegevens

Het begrip ‘persoonsgegevens’ is uitgebreid, waardoor veel meer gegevenstypen vallen onder de wet. Dit betreft ‘algemene’ gegevens zoals naam, adres en woonplaats, maar ook gegevens als telefoonnummer, autokenteken en ‘bijzondere gegevens’, zoals godsdienst en gezondheid.

Organisatie aansprakelijk

De organisatie is aansprakelijk voor de gevolgen van het niet voldoen aan de eisen van de wet. De betrokkenen krijgen meer rechten om tegen de vastlegging van gegevens in te gaan. Er is een meldplicht voor datalekken voor heel Europa.

Handhaving en sancties

De handhaving is verzwaard; er wordt door de Autoriteit Persoonsgegevens (AP) veel zwaarder gecontroleerd of een organisatie zich aan de regels van de wet houdt. Daarbij zijn de sancties vanuit de AP veel hoger; namelijk 20 miljoen euro of 4% van de internationale jaaromzet per overtreding.

Data Protection by design and by default

Naast de vooral procesmatige bescherming, kunnen ook technische hulpmiddelen helpen om aan de regels van persoonsbescherming te voldoen. De term ‘Data protection by design and by default’ komt uit de AVG en heeft betrekking op het ontwerpen van producten en processen, waarbij de aandacht voor de privacybescherming bovenaan staat.

Privacy by design

Zorg er bij het ontwerpen van producten en/of diensten voor dat de persoonsgegevens goed worden beschermd. De functionele requirements die aan een product of dienst worden gesteld, dienen aangevuld te worden met een aantal eisen die ontstaan uit de AVG. Die eisen bij het ontwerp van het product of de dienst direct meenemen, vermindert de kans dat tegen de AVG wordt gezondigd en het product tegen hoge kosten moet worden aangepast.

Privacy by default

Denk continu na over de noodzaak voor het vastleggen en verwerken van gegevens. Ook als je het proces al langer toepast. Neem technische en organisatorische maatregelen om ervoor te zorgen dat je als standaard alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Impact op Testen

Veel van de onderwerpen die de AVG beschrijft, gaan over de processen binnen organisaties en gegevensuitwisseling tussen organisaties. Het gaat daarbij over opslaan, verwerken, bewaren en uitwisselen van persoonsgegevens.

Register van verwerkingen

Testers kunnen ondersteunen bij het definiëren van die processen en het toetsen van die processen tegen de AVG. Een hulpmiddel daarbij is het ‘Register van verwerkingen’. Dit is een verplicht register dat voor alle te verwerken gegevens beschrijft hoe die verwerking aan de regels van de AVG voldoet. Een tester heeft de kennis en ervaring om te toetsen of dit register, de vastlegging en verwerking van gegevens, voldoet aan de regels van de AVG.

Gegevenseffectbeoordeling (data protection impact assessment of DPIA)

Het is een vast onderdeel van het testproces: de Productrisicoanalyse of PRA. De testmanager stelt de PRA in samenwerking met de stakeholders op. Het doel is om vast te stellen welke risico’s een organisatie loopt bij het invoeren van een product of dienst. De DPIA is vergelijkbaar met de PRA en zal mogelijk onderdeel zijn van de PRA. De testmanager is dus bij uitstek in staat om, al dan niet tijdens de PRA, ook de DPIA uit te voeren.

Gegevensgebruik bij testen

Testers zijn altijd al gewend om de privacyaspecten te respecteren. Dat doen zij bijvoorbeeld door geen gebruik te maken van productiedata of in ieder geval die productiedata te anonimiseren. Dat betekent meestal dat de persoonsgegevens vervangen worden door niet-bestaande namen, adressen etc. Dat anonimiseren gaat onder de AVG echter veel verder, omdat er veel meer gegevens zijn die vallen onder de categorie ‘beschermd’.

Gevolg kan zijn, dat een tester veel meer gebruik zal maken van ‘synthetische’ gegevens, gegevens die samen met de gebruiker, door de tester zelf moeten worden opgesteld. Dit heeft invloed op de inspanning voor testen, omdat dit meer dan nu kennis van de tester vraagt. Immers, de tester kan niet meer vragen om een voorbeeld uit productie.

Zeker bij complexe datastructuren, waarbij allerlei gegevensbestanden via sleutels aan elkaar worden gekoppeld, vraagt het definiëren van een testdatabase veel meer tijd.

Ondersteuning bij productie

Maar er is meer. In de huidige situatie zal een tester, zeker vlak na oplevering van een release van een product, vaak ondersteuning verlenen aan de beheerders bij het analyseren van problemen. Onder de AVG mag dat niet meer zomaar. In verband met afscherming van persoonsgegevens mag een tester, die immers niet op de productieafdeling werkt, de productiegegevens niet inzien. Een oplossing hiervoor is, dat de tester tevens wordt ingezet op de productieafdeling, met dezelfde screening, taken en bevoegdheden of dat een productiemedewerker wordt bijgeschoold als tester.

Gevolgen van de AVG

De overgang naar de nieuwe wet op de persoonsgegevens dwingt organisaties om goed naar de bestaande processen en systemen te kijken. De nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. En gegevens verwerken doe je al snel, denk aan het bijhouden van afspraken en contactgegevens van klanten, mailinglijsten, maar zeker ook de gegevens van werknemers.

Dat betekent dat je, als je gegevens van personen vastlegt en bewerkt (wie doet dat niet?), een risicoanalyse moet uitvoeren of je voldoet aan de eisen van de Autoriteit Persoonsgegevens.

Hoe DKTP kan helpen

DKTP heeft al in 2014 een Privacy Impact Assessment (PIA) ontwikkeld. Dit hulpmiddel kan gebruikt worden bij het uitvoeren van een Gegevenseffectbeoordeling die de Autoriteit Persoonsgegevens voorschrijft. PIA werkt volgens de NOREA-vragenlijst, die de AP expliciet adviseert als checklist bij een Gegevenseffectbeoordeling.

Voor kleinere organisaties in het mkb, waarvoor mogelijk de PIA net even te veel is, heeft DKTP een handzame Quick Scan Privacy (QPR) ontwikkeld. QPR brengt de belangrijkste zaken uit de Gegevenseffectbeoordeling in kaart en is zo opgesteld dat deze ook direct gebruikt kan worden voor het opstellen van het Register van verwerkingen.

Tevens heeft DKTP met ‘secure ketentesten met SSD’ een bewezen trackrecord bij het technisch beveiligen en testen van ICT-systemen die moeten voldoen aan privacy- en security-eisen.

Kortom, DKTP heeft de hulpmiddelen en er werken ervaren specialisten op het gebied van Privacy, Security en Testen. Deze specialisten kunnen je helpen om je bedrijfsvoering aan de AVG te laten voldoen.

Is jouw organisatie voorbereid op de AVG? Of wil je een vrijblijvend gesprek over de nieuwe richtlijnen. Bel voor meer informatie met 020-4275221 of stuur een e-mail naar info@dktp.nl

Menu