Eens. Software kan een bedreiging zijn voor het kunnen voldoen aan de Algemene Verordening Gegevensbescherming (AVG) die 25 mei aanstaande ingaat. Er zijn tal van risico’s te benoemen, zoals onvoldoende beveiliging, onvoldoende backup of een incorrecte of onbedoelde werking van software waardoor gegevens naar buiten lekken.
Menselijk falen oorzaak nummer 1 als het aankomt op datalekken
Echter in de praktijk gaat het hier om een relatief gering percentage aan mogelijk oorzaken van datalekken (<20%). De belangrijkste oorzaken zijn mensgerelateerd blijkt uit de brochure van de beroepsorganisatie accountants (NBA) “Nieuwe privacywetgeving in 2018 – Wat te doen als MKB accountant?). Denk hierbij aan het naar een onjuiste ontvanger sturen van persoonsgegevens per mail of post (46%), gegevensdrager zoals laptop of USB kwijtgeraakt (14%) of het kwijtraken van post danwel het geopend terug ontvangen van post (10%).
Als het gaat om bescherming van persoonsgegevens zul je alle mogelijke risico’s in kaart moeten brengen en moeten ook mogelijk geringe risico’s met voldoende maatregelen worden afgedekt. Maar als we ons focussen op de mensgerelateerde oorzaken die in omvang en risico de dienst uitmaken dan durf ik de stelling aan dat daar een hele mooie kans voor software ligt. Ik zal dat verderop uitleggen.
Rechten van medewerkers en klanten
Als we kijken naar de rechten van onze klanten dan zijn die nu in de meeste gevallen onvoldoende geborgd, danwel niet zonder veel moeite organiseerbaar. Een organisatie die door zijn klant bijvoorbeeld gevraagd wordt om het wissen van zijn dossier ziet zich tot de uitdaging gesteld op heel veel plekken aan de slag te gaan, zoals locaties van andere verwerkers, specifieke gekoppelde applicaties inclusief daaraan verbonden dossierstructuren. Voor de interne bedrijfsvoering gaat het om netwerkschijven, externe schijven, backups, fysieke mappen, een ERP applicatie met CRM, de boekhouding en andere applicaties en last but not least emailmappen van zo mogelijk meerdere medewerkers die betrokken zijn of waren bij het bedienen van de klant. Onbegonnen werk. Ook een simpele vraag van een klant om inzage te krijgen in welke gegevens geregistreerd zijn, aan wie ze zijn verstrekt en verwerkt, zal dezelfde zoektocht langs deze bronnen doen activeren. Ik durf daarbij ook de stelling aan dat het nog steeds zo is dat dezelfde gegevens en bestanden op meerdere plekken zijn vastgelegd en dat was onder de huidige regelgeving ook al niet gewenst.
Analyse op de risico’s
Als we kijken naar de risico analyse matrix die de NBA hanteert voor het kunnen voldoen aan de AVG vallen een aantal zaken op het gebied van software op. Hoe meer applicaties we hebben hoe groter het veronderstelde risico. Outsourcing en gebruik van standaard pakketten in plaats van maatwerk mitigeert het risico. Naarmate we meer communicatiekanalen gebruiken (email, post, whatsapp, portal) en meer uitgebreid toegang tot data geven neemt het risico toe. Het gebruik van een single portaal wordt gezien als een risicoverlagend effect. Op zich is dit allemaal prima voor te stellen en ook een goed vertrekpunt om mee aan de slag te gaan voor wat betreft risico analyse.
Kansen in het gebruik van software
Wat nu als we integratie van software en het bieden van één communicatiekanaal als uitgangspunt nemen. Persoonsgegevens vinden dan hun weg via koppelingen naar de eindbestemmingen in de vorm van softwarepakketten die die gegevens bewerken, danwel opslaan. De koppelingen borgen een hoge standaard en duidelijke documentatie van de feitelijke verwerking en (eind)bestemming van data. Gegevens liggen vast op één plek op de locatie waar ze nodig zijn om bewerkt te worden. Het communicatiekanaal zoals een portal geeft toegang tot deze gegevens door middel van deze koppelingen binnen gecontroleerde processen die verband houden met de standaard dienstverlening van een organisatie. Dit kan bijvoorbeeld door het inrichten van workflows binnen de software van AFAS en deze via de portal de ontsluiten.
Gebruik een portal in plaats van post en email om menselijk falen tegen te gaan
Door het gebruik van email en post te staken en een beveiligde portal te bieden, upload of muteert een klant zijn gegevens rechtstreeks in een organisatiedossier, zonder tussenkomst van een mens, proces of opslagmedium (mail of harde schijf). Deze gegevens zijn terstond weer beschikbaar voor de klant en de organisatie zodat altijd inzicht en overzicht is van het totaal aan opgeslagen gegevens. Het wissen daarvan (op verzoek van klant) kan eenvoudig geschieden en door de gedocumenteerde koppelingen met onderliggende applicaties goed herleid en georganiseerd worden.
Privacy gevoelige data slim organiseren
Feitelijk komt het erop neer dat de kans die er ligt betrekking heeft op het slim organiseren van data en informatie uitvraag aan de klant, waarbij werkprocessen en het aantal werkstappen zo kort mogelijk zijn en zo weinig mogelijk onnodige (opslag)stappen bevatten, waarin een lek kan ontstaan of een menselijk fout kan worden gemaakt. Het gebruik van email en post is daarbij niet meer logisch of nuttig zolang dit niet zonder tussenkomst van een menselijke stap direct (en encrypted) in het juiste dossier terecht komt.
Ik ben voorstander van softwaretechnieken die email en post elimineren en werkprocessen waarin data verwerkt wordt standaardiseren en automatiseren. Door je klant een portal te bieden en als software gebruiker te betrekken in die werkprocessen kan veel datalek leed voorkomen worden. Een goed voorbeeld van het gebruik van dergelijke portals zijn AFAS InSite (medewerkers) en AFAS OutSite (klanten).
Mijn collega Harmen schreef erover in dit artikel. Daarnaast bieden wij een aantal diensten waarmee je organisatie snel AVG compliant kan worden.