ALGEMEEN BELEID

Privacy (AVG)

Algemene Verordening Gegevensbescherming

Op 14 april 2016 heeft het Europees Parlement de Algemene Verordening Gegevensbescherming (AVG) aangenomen. Vanaf 25 mei 2018 wordt deze nieuwe privacywet actief gehandhaafd. De AVG is gericht op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Dit kan ook gevolgen hebben voor de oplossingen die Centric aanbiedt aan haar klanten. Daarom dat wij onze oplossingen tegen de lat van de AVG gehouden hebben.

De AVG stelt rechtmatigheid, behoorlijkheid en transparantie bij de verwerking van persoonsgegevens voorop. Gegevens mogen uitsluitend worden verwerkt in het kader van een gerechtvaardigd doel en dan ook alleen die gegevens die ook echt noodzakelijk zijn. Ook mogen gegevens niet langer bewaard blijven dan noodzakelijk. Tevens hebben rechthebbenden het recht om te weten welke gegevens er van hem bekend zijn en welke verwerkingen er hebben plaatsgevonden.

Centric heeft onderzoek gedaan naar de gegevensverzameling in de verschillende toepassingen. Bij twijfel aan de rechtmatigheid van de opslag van bepaalde gegevens wordt met de gebruikersgroep besproken of er maatregelen nodig zijn. Het kan dan gaan over het verwijderen van bepaalde gegevens of het beter kunnen autoriseren.

Een ander punt betreft het archiveren en verwijderen van gegevens. Op het moment dat er geen doelbinding meer is, is het niet langer toegestaan de betrokkene via Key2Datadistributie (en dus via de VOA) nog langer te volgen. En na de bewaartermijn moeten ook gegevens uit de applicatie worden verwijderd. Het is belangrijk te achterhalen of dit bij u ook zo is ingesteld.

 

Privacy Logging

Om de vraag van betrokkenen te kunnen beantwoorden welke gegevens van hen verwerkt worden en welke verwerkingen er hebben plaatsgevonden ontwikkelt Centric een tool voor privacy-logging. Al onze applicaties zullen bij elke verwerking enkele gegevens wegschrijven naar een privacy-logging. Deze gegevens worden versleuteld opgeslagen zodat alleen de functionaris gegevensbescherming rapportages kan draaien en burgers inzage kan geven in de verwerkingen.

Om u te ontzorgen bieden wij deze privacy-logging aan als een SaaS-dienst. Gezien de grote hoeveelheid dagelijkse verwerkingen verwachten wij dat de opslag snel zal groeien, want ook raadplegingen zijn volgens de AVG een verwerking. Vanuit ons gecertificeerde Nederlandse datacenter kunnen wij opslaguitbreiding snel realiseren. 

Het is ook niet wenselijk om logging in de eigen applicatie te realiseren. Bij een restore van de database of een migratie naar een andere oplossing zou u ook de logging kwijt zijn waardoor u niet langer kunt voldoen aan een inzageverzoek. Wij garanderen dat loggingsgegevens bewaard blijven voor de volledige duur van de wettelijke termijnen.

 

Encryptie

Persoonsgegevens horen te worden versleuteld. Een eerste stap is om de gevoelige data op schijf te beveiligen. Het gaat hierbij om het risico op oneigenlijke toegang tot datafiles (back-up, schijf, besturingssysteem). Deze vorm van encryptie leidt niet tot aanpassingen van de applicaties.

Een volgende stap is het versleutelen van specifieke kolommen in de database die betrekking hebben op persoonsgegevens. In dit geval moeten ook de applicaties worden aangepast om de versleutelde gegevens te bevragen en te muteren. 

 

Anonimisering

Ook een testomgeving met productiegegevens valt onder de AVG. Maar daarmee voldoet u nog niet aan artikel 5 van de AVG. De gegevens die u gebruikt, zijn niet voor dit doel verzameld. De BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) stelt daarom dat er in een testomgeving geen productiegegevens mogen worden gebruikt. Toch is het belangrijk om nieuwe software te testen in een testomgeving. Wij gaan er daarom voor zorgen dat gegevens worden geanonimiseerd. Aangezien u ook de ketens wilt kunnen testen, moeten de gegevens in alle databases op eenzelfde manier worden geanonimiseerd. Centric gaat de benodigde tooling hiervoor leveren.

 

Security

Om persoonsgegevens te beschermen zijn goede beveiligingsmaatregelen nodig. Ons beleid hierover treft u aan op de pagina Security.