AVG; Wat als onderzoek bewijs moet leveren? Deel 2

In mijn vorige blog  sprak ik de verwachting uit, dat we als Chief Security Officers meer onderzoeken gaan uitvoeren. Als Chief Security Officer gaan we vaker onderzoeken leiden naar aanleiding van (vermoedelijke) datalekken. Die hebben namelijk toch vaak een directe relatie met security incidenten en daar zitten we toch al bovenop. Maar als het aan mij ligt zijn er geen of minder Chief Security Officers betrokkenheid bij onderzoeken waar het gaat om situaties waarin betrokkenen meer zekerheid willen hebben over de manier waarop hun eisen zijn ingewilligd. Bijvoorbeeld als het gaat om veranderen of verwijderen van hun gegevens. Naleving en toezicht voor die bedrijfsprocessen vind ik een prima werkterrein voor interne controle afdelingen en auditors. Daarbij hoop ik wel op samenwerking en uitwisseling van kennis en ervaringen. Dan kunnen we met vergelijkbare methodes dit soort (overhead) processen zo efficiënt en effectief mogelijk uitvoeren.

Over de opzet en uitvoering van onderzoeken is veel literatuur beschikbaar, ook op internet. Ik vind echter nog weinig ‘good practices’ in de context van onderzoeken naar datalekken. In afwachting daarvan wil ik toch ‘hoog over’ wat praktijkervaringen delen. Een eerste aanzet voor discussie, uitwisseling van ervaringen, ontwikkelen van checklists of workflows?

Een datalek begint meestal met een technische of functionele melding. Als eerste de identiteit van de melder en de integriteit van de melding vaststellen is cruciaal. Pas daarna ga je inhoudelijke details uitvragen en de datalek procedures in gang zetten, in samenwerking met directie, de Functionaris Gegevensbescherming (FG), de bedrijfsjurist en de Woordvoerder/ Communicatieverantwoordelijke. Je formuleert je onderzoeksopdracht en haalt mandaat voor je – multidisciplinair - onderzoeksteam bij de directie, als dat nog niet eerder structureel is ingeregeld. Natuurlijk breng je zo snel mogelijk de dataflow in kaart. Goede en actuele registers van verwerkingen kunnen je daarbij enorm helpen, vooral omdat je zo snel mogelijk de positie van de organisatie; verantwoordelijke of verwerker, moet bepalen. Daarna wordt het meestal ingewikkeld. Welke partijen zijn nog meer betrokken? Van wanneer dateren de persoonsgegevens? Hebben we te maken met legacy techniek of zit alles in de Cloud?
 

Laten we er in dit geval vanuit gaan dat uit het onderzoek blijkt dat er geen sprake was van onrechtmatige verwerking. Het papierwerk was in orde en de informatie was technisch en procesmatig goed beveiligd. Toch zijn er blijkbaar persoonsgegevens gelekt en er wordt van ons verwacht dat we bewijs aanleveren dat onze organisatie echt alles heeft gedaan om de persoonsgegevens zorgvuldig te verwerken. Je bewijspositie vat je meestal samen in een vertrouwelijk rapport. De referenties kunnen, afhankelijk van de ernst en omvang, verwijzen naar dienstverleningsovereenkomsten, architectuur, auditrapporten, processen en workflows, facturen, change request records, service requests, certificaten van vernietigde media, overdracht- en ontvangstbewijzen, verklaringen van (ex)medewerkers etc.

Daarmee zijn we weer terug waar ik in mijn vorige blog over begon; veel verwerkingen zijn prima geformaliseerd met DPIA’s, verwerkersovereenkomsten, registers van verwerkingen, datalekprocedures etc. Die investering in ‘overhead’ voor de reguliere bedrijfsprocessen is in deze situaties essentieel voor de snelheid waarmee we het onderzoek kunnen uitvoeren en helpt bij de bewijsvoering. Maar als het erop aan komt moet het echte ‘bewijs’ uit de operationele bedrijfsprocessen komen. Ook dat is privacy by design; zijn uw medewerkers en uw organisatie daarop voorbereid? Kunnen ze deze bewijzen tijdig voor u achterhalen zonder dat dit teveel geld en tijd kost? In afwachting van systemen die ingericht zijn om deze informatie routinematig en geautomatiseerd te produceren?

Media en informatiesystemen zijn er meestal op ingericht om gegevens - dus ook persoonsgegevens – eenvoudig uit te wisselen en te delen. Met de introductie van de AVG (GDPR) gaat dat veranderen; u zult systemen moeten inrichten om het stromen van persoonsgegevens aantoonbaar te beheersen. Dat is niet eenvoudig. In de onderzoeken die ik tot nu toe heb meegemaakt was het relatief eenvoudig aan te tonen dat iedereen wist wat hij/zij moest en mocht doen. Gegevens werden gecontroleerd verwerkt; van ontvangst tot en met vernietiging. Veel lastiger was het om onomstotelijk te bewijzen dat persoonsgegevens niet waren gekopieerd. In het beste geval kon dat aannemelijk worden gemaakt. De toekomst ligt in architecturen en systemen waarbij persoonsgegevens ‘from cradle to grave’ gecontroleerd worden verwerkt waarbij het voorkomen van ongewenste kopieën zeker geregeld moet worden.

Kortom; als Chief Security Officers zullen we onderzoeken moeten uitvoeren, maar daarnaast ook proactief onze organisaties moeten ondersteunen met privacy by design; ook dat is digitale transformatie.