De FG en gegevensbescherming in de Cloud

Door: Caroline Willemse

Inleiding

De functionaris voor gegevensbescherming (FG) heeft de taak toe te zien op het nakomen van de Algemene Verordening Gegevensbescherming, kortweg de AVG genoemd. We zien vaak dat FG’s zich richten op het verwerkingsregister, de DPIA’s en de datalekken. Echter, het toezien op de informatieveiligheid van persoonsgegevens hoort ook bij de toezichtstaak!

Persoonsgegevens in de cloud

Bedrijven maken steeds vaker de overstap naar cloudoplossingen. Soms nog in hybride vorm. Persoonsgegevens worden dan niet meer alleen in de eigen omgeving verwerkt maar ook in de cloud. Eén ding verandert niet: het bedrijf is en blijft (eind)verantwoordelijk voor de verwerking van persoonsgegevens. En dat maakt dat de FG ook moet toezien op de veiligheid van de verwerking van persoonsgegevens in de cloud. 

Een FG kan weliswaar steunen op het werk van een (CI)SO, (corporate information) security officer hierna SO, maar heeft zelf voldoende kennis nodig om vast te kunnen stellen dat de SO de risico’s die betrokkenen lopen door de verwerking, beheerst worden. De FG moet kunnen sparren met de SO over de risico’s omdat de SO de risico’s benadert vanuit het risico voor het bedrijf en de FG vanuit het risico voor de betrokkenen. En de SO toetst aan de risicobereidheid van het bedrijf terwijl de FG zal opkomen voor het belang van de betrokkene die geen risico’s wil met betrekking tot diens persoonsgegevens.

Veelal zullen de belangen van het bedrijf en de betrokkenen in elkaars verlengde liggen. Dat is niet alleen omdat het bedrijf boetes of claims kan krijgen als het persoonsgegevens niet beschermd. Persoonsgegevens kunnen vaak ook beschouwd worden als bedrijfsgeheimen. Immers, een overzicht van leveranciers en of klanten is zeer concurrentiegevoelig!

De FG zal dan ook moeten kunnen beoordelen of de voorgestelde beveiligingsmaatregelen afdoende zijn om de risico’s voor de betrokkenen af te dekken. Deze maatregelen zullen deels door de cloudaanbieder moeten worden uitgevoerd en deels door het bedrijf zelf. De FG zal zich moeten bemoeien met de selectie van de cloudaanbieder en willen weten dat de cloudaanbieder de gewenste maatregelen kan inregelen. Vervolgens kijkt de FG mee met de contractering zodat heldere afspraken gemaakt worden over verantwoordelijkheden en het afleggen van verantwoording door de cloudaanbieder. 

De SO heeft als taak om vast te stellen dat de maatregelen effectief hebben gewerkt. Daarvoor zal de SO de interne rapportage en de rapportage van de cloudaanbieder beoordelen. De FG zal beoordeling van deze rapportage door de SO doornemen en zonodig eigen onderzoek uitvoeren. Dat laatste kan bijvoorbeeld gewenst zijn na een datalek.

Compliance in de cloud

Wij beschouwen een FG met zijn bijzondere aandacht voor naleving van de AVG als een speciale compliance officer van een bedrijf. We verbazen ons daarom dat de FG niet of weinig gebruik maakt van compliancetools. 

Een compliancetool zoals Microsoft Purview. Met Purview kan gegevensbeheer worden uitgevoerd voor de on-premises, multicloud- en SaaS-gegevens (Software-as-a-Service). Het biedt één dashboard voor het bedrijf, ongeacht waar de gegevens zich bevinden.

Het is ook mogelijk om geautomatiseerd de toetsing aan normenkaders zoals AVG, NIST, ISO27001 of eigen normenkader te laten uitvoeren zodat snel inzicht gekregen kan worden waar verbetering mogelijk is.

De FG kan met deze tool veel tijdswinst en kwaliteitswinst realiseren waardoor meer capaciteit beschikbaar is om tot een oordeel over de naleving van te komen maar ook – en dat is nog belangrijker – dat gedurende het jaar de FG tijdig kan bijsturen. 

Tenslotte

Indien gewenst kunnen wij de rol van compliance officer in Purview voor u uitvoeren. Dit kan ongeacht of u wel of geen FG heeft. Wij kunnen dan snel tot een oordeel komen van de bescherming van uw persoonsgegevens. Dat oordeel kan uiteraard ook positief zijn maar dat kan een comfortabele bevestiging zijn. Als er wel verbeterpunten naar voren komen, dan kunnen we uw bedrijf (en uw FG) ondersteunen om deze snel en effectief op te pakken. 

Meer weten?

Heeft u vragen of behoefte aan een afspraak? Neem gerust contact op met Caroline Willemse via +31 (0) 70 392 22 09 of c.willemse@duthler.nl.



Avatar foto
Author: Caroline Willemse
Caroline is hoofd risk- en compliancemanagement binnen Duthler Associates. Caroline helpt bedrijven en instellingen verder om het beste resultaat te halen. Neem gerust contact op met Caroline.