Dit bericht verscheen eerder bij Tuxis
1. Data veroudert niet persé
Twee kenmerken van data zijn dat het te dupliceren is en dat niet alle data veroudert. Stel, je hebt software waarin je personeelsgegevens bewaard. Dat staat netjes in een database. Naam, geboortedatum, BSN, kopie paspoort, salaris, adres, vakantiedagen, enzovoort. Een aantal van deze gegevens verandert nooit. Dat blijft dus te allen tijde relevante informatie, ook als die na 10 jaar lekt. Het versleuteld opslaan van data op een minder veilige locatie is dan ook geen goede oplossing. De versleuteling is over een aantal jaren namelijk niet meer veilig, maar de data is nog steeds waardevol. Je moet dus absoluut voorkomen dat het met de beveiliging van de data mis kan gaan; veilige opslag, op een veilige locatie.
2. Kleine lettertjes kunnen verraderlijk zijn
De kleine lettertjes zijn gemeengoed. Iedereen past ze toe, niemand leest ze. Er volgen hieronder wat kleine lettertjes die ik niet verzonnen heb; ze komen uit de praktijk en staan in het privacy statement van een aantal grote leveranciers. Als je ze gelezen hebt stel ik je de vraag; zou jij je BSN aan die bedrijven toevertrouwen?
We leveren persoonsgegevens aan onze partners en andere vertrouwde bedrijven en personen om het voor ons te verwerken
Vertrouwde bedrijven en personen… Dat is dus iedereen die zij vertrouwen! Maar waarop is dat vertrouwen gebaseerd?
Wij hebben servers over de hele wereld en uw informatie kan verwerkt worden op servers die niet in het land van uw herkomst staan.
Dus ook al staat je data nu in Nederland, morgen kan dat ergens anders zijn zonder je medeweten.
Wanneer u inhoud uploadt naar, toevoegt aan, opslaat in, verzendt naar of ontvangt in of via onze Services, verleent u ons (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken, te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren.
Dus alles wat je bij deze aanbieder bewaart kan publiekelijk worden gemaakt. Ook door bedrijven waar zij mee samenwerken.
We delen ook persoonsgegevens met door ons aangestuurde filialen en dochterondernemingen; met leveranciers die namens ons werken; wanneer vereist door de wet of om te reageren op juridische procedures; om onze klanten te beschermen; om levens te beschermen; om de veiligheid van onze producten te garanderen; en om de rechten en eigendommen van ons en onze klanten te beschermen.
Deze lijkt nog redelijk te zijn. Zij het niet dat er bij deze leverancier 73 bedrijven over de hele wereld binnen die categorie vallen.
Door ons verzamelde persoonsgegevens kunnen worden opgeslagen en verwerkt in uw regio, in de Verenigde Staten en in een ander land/ andere regio waarin wij of de aan ons gelieerde ondernemingen, dochterondernemingen of serviceproviders over faciliteiten beschikken.
Dat is dus gewoon de hele wereld en talloze, verschillende bedrijven.
We geven persoonsgegevens door van de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland naar andere landen, waarvoor in sommige gevallen nog niet door de Europese Commissie is vastgesteld of het geboden niveau van gegevensbescherming adequaat is.
Wel eerlijk, maar deze leverancier slaat dus gegevens op in landen waar de Europese commissie nog naar moet kijken. Je mag zelf bedenken welke landen dat zouden kunnen zijn!
Een goed privacy statement zegt het in een paar woorden
Het is best even zoeken naar de kleine lettertjes. Vaak verborgen achter titels als “Uw privacy vinden wij belangrijk” en “Wij weten hoe we uw data kunnen beschermen”. Maar waarom zou je een leverancier kiezen waarbij je niet zeker bent van wat zij doen met je data, gezien de ‘ruimte’ in hun voorwaarden? Ik vraag mij in alle eerlijkheid af: waarom is een privacy statement zo lang, wat wil je verhullen? “Wij delen niet met derden” zegt wat mij betreft genoeg en is maar een paar woorden!
Hoe kies je de juiste leverancier bij een Privacy first strategie?
Jij bent zelf verantwoordelijk voor de data die je opslaat. De leverancier voor je dataopslag moet het jou eenvoudig maken om AVG-compliant te zijn. Dat kunnen zij je niet garanderen met ellenlange voorwaarden of met allerlei certificaten. Hoe je dan wel een goede leverancier kiest, leg ik hieronder uit in een paar stappen.
Stap 1: Begin met het wegstrepen van die leveranciers waar het privacy statement ‘boekdelen’ spreekt.
Stap 2: Om een product te kunnen kiezen waarmee je data AVG-compliant kunt bewaren en gebruiken, moet je weten wat de toepasbaarheid is. Is het product geschikt voor de data die je wilt bewaren en waarom is dat zo? Daarvoor moet er een sensible use policy beschikbaar zijn. Een voorbeeld vind je hier: https://tuxis.nl/sensible-use-policy
Stap 3: Gebruik de juiste technieken voor dataopslag. Bijzondere persoonsgegevens bewaren en versturen in een e-mail is sowieso een slecht idee, óók wanneer je e-mailleverancier tot de puntjes gecertificeerd is. Een product moet dus ook op technisch gebied goed worden bekeken.
Stap 4: Gooi de reclamefolder weg en vraag de leverancier het hemd van het lijf op technisch gebied. Gebruik daarbij de onderstaande vragenlijst.
Vragenlijst voor leveranciers van dataopslag
- Leveranciers in de keten hebben mogelijk toegang tot je data:
- Wie zijn die leveranciers in de keten? (subverwerkers)
- Is de hele keten van leveranciers Europees?
- Krijg ik een verwerkersovereenkomst?
- Dataverlies is ook een datalek. Back-ups zijn belangrijk:
- Hoe vaak worden ze gemaakt?
- Wat wordt er bewaard?
- Hoeveel versies?
- Heb ik toegang tot die back-ups?
- Waar staat die data?
- Staat die data wel geografisch gescheiden?
- Rechten op de data:
- Van wie is de data nadat het geplaatst is? (Als het niet op jouw eigen apparatuur staat blijft dat een heikel punt, wat door een enkele zin in een overeenkomst anders kan zijn dan je denkt.)
- Wat is de vaste locatie van opslag en wat is het land waar de leverancier is opgericht (dit bepaalt welke overheid erbij kan).
- Beveiliging:
- Wat doet u om mijn data veilig te stellen?
- Wordt die beveiliging getest? Hoe vaak?
En hoewel dit technische vragen zijn, moeten deze prima te beantwoorden zijn vanuit parate kennis. Als de leverancier het te ingewikkeld vindt om uit te leggen, dan is dat geen goed signaal.
Zelf verantwoordelijk, dus zelf alles doen?
Bij de keuze van een data-opslagleverancier is goede Informatie noodzakelijk, zodat je kunt voldoen aan de AVG-richtlijn. Lees de richtlijn er maar eens op na. Daar staan onder andere de volgende belangrijke aanwijzingen in.
- Je mag geen data verliezen.
- Data moet toegankelijk zijn.
- Je mag geen data lekken.
- Krijg je een verwerkersovereenkomst?
- Verwerkt de leverancier de data of verzamelt hij?
- Behoud je de rechten op geplaatste data?
- Is er opslag van data, of een leverancier in de keten, buiten de EU?
- Mag de leverancier capaciteit buiten de EU halen?
- Is er wetgeving van toepassing die een niet-EU-overheid toegang verschaft (zoals bij Amerikaanse leveranciers)?
Als je dit zo leest, dan lijkt alles zelf maar doen de veiligste oplossing. Maar dat wil ik helemaal niet adviseren. Zowel zelf doen als laten doen is immers mensenwerk. Wat ik bedoel, is dat je niet moet aannemen dat het wel goed geregeld zal zijn, want vaak genoeg is het dat niet. Loop daarom niet achter de Cloud first-meute aan, maar denk zelf na en zet je privacy op de eerste plek. Volg een slimme strategie; Privacy first.
Dit bericht verscheen eerder bij Tuxis