De uitdagingen op het gebied van safety en security in de industriële sector zijn universeel. Overal in een fabriek of op een raffinaderij vinden werkzaamheden plaats waarbij enkel de hoogste graad van veiligheid volstaat. Naast safety, speelt ook wet- en regelgeving een steeds belangrijkere rol. Hoe maak je je toegangsprocessen AVG-proof? Een best practice.
Het inrichten van toegangsprocessen is een project dat tegenwoordig niet alleen veel ervaring op het gebied van toegangscontrole en identiteitsmanagement vraagt, maar ook veel kennis van de privacywetgeving. Samen met een van haar opdrachtgevers in de industriële sector doorliep Nsecure een traject waarbij een Data Protection Impact Assessment (zie kader) werd uitgevoerd.
Het gaat hier om een grote speler in de industriële sector die de wens had om het toegangscontrolesysteem te upgraden naar een nieuwe versie om dit vervolgens te koppelen aan de nieuwe workflow- & identitymanagementoplossing, Dataclient. Toegangsstromen van medewerkers, bezoekers en contractors worden binnen Dataclient beheerd.
Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA) geeft inzicht in de risico’s voor de betrokkenen van wie persoonsgegevens worden verwerkt binnen een bepaald proces en in de maatregelen die de verantwoordelijke moet nemen om deze risico’s af te dekken. De verwerkingen die plaatsvinden in het kader toegangscontrole en identiteitsmanagement zijn veelal grootschalig en gecompliceerd. Dit betekent dat het uitvoeren van een DPIA essentieel en ook wettelijk vereist is, om te borgen dat aan de eisen van de AVG wordt voldaan.
Meerdere gebruikers
Op het terrein zijn meerdere bedrijven gevestigd die ook gebruik willen maken van de (security-)systemen om zo zelfstandig medewerkers en derden aan te melden. Alle partijen zijn dus aan te merken als (mede)verwerkingsverantwoordelijken; zij dragen allemaal de verantwoordelijkheid over (hun deel van) de gegevens.
De grootste verantwoordelijkheid ligt bij de partij die verantwoordelijk is voor het beheer en de beveiliging van de systemen.
Daarnaast heeft de system integrator, in dit geval Nsecure, ook een rol als verwerker vanwege de hosting van de systemen.
Risico’s in kaart brengen
De wens om de upgrade te voltooien en te werken met de nieuwe workflow- & identitymanagementoplossing, bracht een aantal privacy- aandachtspunten met zich mee;
- Het minimaliseren van data; zijn alle gegevens uit het oude toegangscontrolesysteem nog wel vereist?
- Gegevenskwaliteit; zijn alle gegevens nog actueel?
- Beveiliging; hoe worden de gegevens tijdens de migratie beveiligd?
Uitvoeren van een DPIA als aanpak
Om de migratie en overstap succesvol te doorlopen en te voldoen aan privacy-wetgeving, is een DPIA uitgevoerd (zie kader). Door een nauwkeurige en kritische analyse is de opdrachtgever geholpen met het inzichtelijk krijgen van privacyrisico’s en het formuleren van passende beheersmaatregelen. Het uitvoeren van een DPIA gaat volgens een aantal stappen:
Stap 1: het proces in kaart brengen
De eerste stap bij een DPIA is het maken van een systematische beschrijving van het proces. Dit vormt de basis voor de overige onderdelen van het assessment. Het is cruciaal het proces volledig en in details in kaart te brengen. Het gaat niet alleen om de persoonsgegevens die verwerkt worden en de systemen waarbinnen dit gebeurt, maar ook hoe betrokken partijen in het gehele proces een rol spelen;
- Wie bepaalt het doel en systemen, wie is de verwerkingsverantwoordelijke?
- Wie zijn de betrokkenen?
- Wordt er samengewerkt met partijen die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerken?
De persoonsgegevens die worden verwerkt binnen de toegangscontrolesystemen zijn uiteenlopend van aard. Naast voor de hand liggende gegevens (zoals naam, e-mail en telefoonnummer), kunnen dit ook adresgegevens, ICE-contactgegevens, pasfoto, ID-nummer, informatie over de verblijfsstatus of opleidingsgegevens betreffen.
Stap 2: Toetsing aan de AVG
Voor alle persoonsgegevens geldt dat de verwerking moet voldoen aan de eisen van de AVG, waaronder doelbinding, rechtmatigheid en transparantie. De toepasbaarheid van een van de zes grondslagen vastgelegd in de AVG is een eerste voorwaarde om gegevens te mogen verwerken. De opdrachtgever was voornemens om gegevens hoofdzakelijk vanuit de grondslagen ‘gerechtvaardigd belang’ en ’toestemming’ te verwerken en daarnaast in een beperkt aantal gevallen ‘wettelijke verplichting’. Met name aan de eerste twee grondslagen zitten een aantal haken en ogen, namelijk;
- Grondslag AVG Gerechtvaardigd belang
Gerechtvaardigd belang houdt in, dat de verwerking noodzakelijk moet zijn voor de bedrijfsvoering. Er moet een afweging gemaakt worden tussen de belangen van de organisatie en van de personen van wie persoonsgegevens worden verwerkt. Wanneer het gaat om beveiliging van eigendommen en gebouwen, zeker van een organisatie in de industriële sector, is dit belang goed te beargumenteren.
- Grondslag AVG-toestemming
Voor het gebruik van de grondslag ’toestemming’ gelden een aantal specifieke eisen. De betrokkene moet voldoende geïnformeerd worden over de verwerking. Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Daarnaast moet het voor een betrokkene gemakkelijk zijn om de verstrekte toestemming weer in te trekken.
Stap 3: risicoanalyse & beheersmaatregelen
De laatste stap in de DPIA is het uitvoeren van een risicoanalyse en het formuleren van beheersmaatregelen. Hierbij wordt bekeken welke risico’s voor de betrokkene en voor de organisatie van belang zijn. De bevindingen uit stap 2 vormen hierbij het uitgangspunt.
Uitkomst advies en maatregelen
Om te garanderen dat het toegangscontrolesysteem en de workflow-omgeving voldoen aan de privacy-eisen, zijn er maatregelen genomen om risico’s te mitigeren. Dit is gedaan door het opstellen en implementeren van een testplan, controle van de geïmporteerde gegevens door de betrokkenen en het gebruik van encryptie bij de gegevensoverdracht. Er is een procedure geïmplementeerd waarin het toekennen van rechten en de bewaking van toegekende rechten beter geborgd is. Ook is logging ingericht waarbij een signaal wordt gegenereerd wanneer gebruikers grote hoeveelheden persoonsgegevens opvragen binnen het systeem.
Tot slot zijn voor er voor de verwerking van gegevens bewaartermijnen vastgesteld, zodat geen onnodige gegevensverzameling plaatsvindt. Hierbij is onderscheid gemaakt tussen bezoekers, contractors en eigen werknemers. Waar mogelijk is het retentiebeleid in de systemen geautomatiseerd.
Onderlinge afspraken met contractors
Met contractgegevens zijn er goede afspraken gemaakt over wie de betrokkene informeert over de verwerking van zijn of haar gegevens in de workflow en identity-systemen en er is een AVG-compliant privacystatement opgesteld dat vooraf aan de betrokkene wordt verstrekt.
Continu proces
Een DPIA uitvoeren is geen eenmalige exercitie, maar een continu proces. Het is noodzakelijk om te blijven monitoren of de gegevensverwerking in kwestie verandert. Bijvoorbeeld wanneer er een nieuwe technologie wordt toegepast of wanneer de persoonsgegevens voor een ander doel gebruikt gaan worden.
Wilt u een DPIA laten uitvoeren voor uw processen op het gebied van toegangscontrole en identiteitsmanagement, of wilt u advies over specifieke privacyvraagstukken? Neem dan contact op met Nsecure. Telefoon: 088-1239000 of info@nsecure.nl
Dit artikel is gesponsord door Nsecure.
Volg Security Management op LinkedIn