Tutorial

Algemene Verordening gegevensbescherming (AVG) algemene voorschriften voor back-up en opslaginfrastructuur

Bedrijven en publieke instellingen gevestigd in de Europese Unie (EU) hebben ongetwijfeld gehoord over de Algemene Verordening gegevensbescherming (AVG / GDPR), een nieuwe reeks privacyregels die op 25 mei 2018 in werking zullen treden. Wat voor bedrijven die buiten de EU zijn gevestigd misschien niet gelijk duidelijk is, is dat deze regelgeving van toepassing is op alle bedrijven over de gehele wereld die binnen de EU-handel drijven en online met klanten vanuit de EU te maken hebben.

AcronisIDC Report

Indien u klanten of partners heeft die actief zijn binnen de grenzen van de EU, dient u vandaag meer te weten te komen over de AVG. U dient snel te beginnen met stappen zetten om ervoor te zorgen dat uw bedrijf eraan voldoet of u kunt zware economische sancties verwachten die een nadelige invloed kunnen hebben op het vermogen van uw bedrijf en de op te behalen winst daar.

Stelt u zich voor dat u een boete krijgt van € 10 miljoen of 2% van uw jaarlijkse wereldwijde inkomsten, afhankelijk van welk bedrag groter is, voor het niet naleven van de AVG.

De focus van de AVG ligt op het beschermen van de individuele privacy rechten van EU-burgers en in vergelijking met eerdere EU-privacywetgeving wordt de definitie van wat persoonlijke privacygegevens zijn uitgebreid. De focus ligt niet alleen op financiële, overheids- en medische dossiers, maar ook op genetische, cultureel en sociaal gebied. Bedrijven dienen nu expliciete toestemming van een persoon te verkrijgen voordat zij hun persoonlijke gegevens gebruiken, en moeten ook ‘het recht om vergeten te worden’ respecteren, d.w.z. dat alle persoonlijke gegevens die het bedrijf in bezit heeft op verzoek van de gebruiker verwijderd worden.

Bedrijven dienen ook te voldoen aan een aantal nieuwe vereisten om aan te tonen dat zij voortdurend de AVG naleven, zij dienen een individu aan te wijzen die verantwoordelijk is voor AVG-kwesties van het bedrijf (de zogenaamde “Data Beschermingsfunctionaris”). Deze persoon dient te rapporteren over alle mogelijke inbreuken op gegevens en betreffende het opslaan van persoonlijke gegevens binnen de fysieke grenzen van de EU. Dit laatste weerspiegelt de bezorgdheid van de EU dat landen buiten de EU niet dezelfde hoge normen hanteren voor gegevensbescherming van individuele burgers en de data die buiten de EU wordt opgeslagen lopen een groter risico door overheidsinstanties en criminele actoren te worden bewaakt.

De AVG Begrijpen Door de Lens van Sarbannes-Oxley (SOX)

Voor IT-professionals van een bepaalde leeftijd, kunnen de uitdagingen die de AVG presenteert doen denken aan de Amerikaanse Sarbanes-Oxley Act (SOX) uit de vroege jaren 2000. Net zoals de AVG was de SOX een strikte nieuwe regelgeving die werd opgelegd aan allerlei soorten bedrijven van allerlei formaten. Hoewel het door de Verenigde Staten eenzijdig opgelegd werd aan bedrijven die binnen de grenzen actief zijn, vertegenwoordigde het zo een enorme markt dat bedrijven over de gehele wereld door deze regelgeving werden getroffen. Net zoals de EU met de AVG, creëerden de VS een agressieve tijdlijn voor de naleving en handhaafden zij hun regelgeving met het opleggen van hoge boetes. En net zoals de AVG nu teweegbrengt, creëerde de SOX veel verwarring en ook angst bij de bedrijven die onder de toezicht komen te staan, met name op het gebied van de kosten die de naleving met zich meebrengt.

Aan de andere kant hebben IT-professionals in 2017 en 2018 het makkelijker dan de tegenhangers uit het begin van de 21ste eeuw. Bedrijven hebben vandaag de dag bijvoorbeeld toegang tot betere technologie die de vereisten van het rapporteren ondersteunen, hiermee kunnen zij aan de autoriteiten aantonen dat zij beschikken over het vereiste beleid en de juiste controles en procedures om te voldoen aan de naleving van de AVG. De controlekaders wat betreft het bestuur, risicomanagement en naleving (BRN) zijn in het afgelopen decennium aanzienlijk geëvolueerd, net als de discipline van het beleidscyclusbeheer. Mede dankzij de SOX en de EU-gegevensbeschermingsrichtlijn uit 1995 kunnen bedrijven beter omgaan met de privacy-effectbeoordelingen en het beheren van gegevenstoegang. Sterk verbeterde en meer geautomatiseerde hulpmiddelen voor het monitoren, rapporteren en matigen van datalekken zijn inmiddels beschikbaar.

Echter is de wereld ook geëvolueerd sinds de SOX, dit op manieren die de naleving van de AVG bemoeilijken. De opslag van data is enorm toegenomen in snelheid, volume, diversiteit van de media (inclusief cloudopslag) en complexiteit.

Het universum van IT-beveiligingsbedreigingen voor wat betreft data, vanuit zowel criminele- als overheidsactoren, is eveneens exponentieel geavanceerder en bedreigender geworden.

Naleving van de AVG heeft implicaties voor privacy-effectbeoordelingen, het beheer van de toegang tot de data en kennisgeving en oplossingen inzake inbreuk op de data, onderwerpen die wij hier niet behandelen. Dit artikel concentreert zich specifiek op de naleving van de AVG, gezien dit betrekking heeft op de veilige opslag en bescherming van actieve data, inclusief het archiveren en verwijderen van data.

Algemene terminologie van de AVG

Om de AVG inzake dataopslag en databescherming te begrijpen, is het handig om de volgende basisterminologie te begrijpen:

  • Onderwerp van de Data Een EU-burger die te identificeren is aan de hand van hun persoonlijke gegevens. Hieronder kan ook een klant die een online aankoopt doet vallen, een patiënt van de gezondheidszorg, een burger die toegang heeft tot online overheidsdiensten, een gebruiker van social media applicaties: elke individu die persoonlijke gegevens deelt om van een bepaalde dienst gebruik te maken.
  • Controleur Een bedrijf dat actief is binnen de EU – of buiten de EU, maar te maken heeft met EU-ingezetenen – dat gevoelige data over de EU-ingezetenen vastlegt tijdens de activiteiten. Voorbeelden hiervan zijn: een bedrijf dat online bestellingen, adressen, informatie betreffende betaalkaarten accepteert van klanten; een zorgaanbieder die patiëntendossiers bijhoudt (Zie hieronder voor hulp om te bepalen of uw bedrijf functioneert als een verwerker of een controleur).
  • Verwerker Een commercieel bedrijf zoals een aanbieder van een cloudservice die optreedt als een contractant van een controleur, d.w.z. een ander bedrijf dat EU-burgers van dienst is en gevoelige gegevens over personen vastlegt. Voorbeelden hiervan zijn applicatieshosts, opslagproviders en aanbieders van cloudservices zoals back-up.
  • Persoonlijke data “Enige informatie met betrekking tot een geïdentificeerd persoon of identificeerbaar natuurlijk persoon.” Dit is breder gedefinieerd door de EU dan andere overheden, en omvat de naam van de EU-burger, het e-mailadres, berichten op social media, fysieke, psychologische of genetische informatie, medische informatie, locatie, bankgegevens, IP-adres, cookies, culturele identiteit etc.
  • Het recht om vergeten te worden Het recht van elke EU-burger “om hun persoonlijke data te laten verwijderen en niet langer te verwerken.” Individuen mogen verzoeken om al hun persoonlijke data te verwijderen die is opgeslagen op een server van een controleur. Er blijft omtrent dit specifieke onderwerp enige onduidelijkheid bestaan. Betekent een verzoek om vergeten te worden dat ook de data op back-ups moet worden verwijderd (problematisch in seriële back-upmedia zoals een tape)? Wat gebeurt er als het recht om vergeten te worden in strijd is met het beleid voor het bewaren van gegevens van bedrijven voor archiverings- en legale doeleinden?
  • Persoonlijk datalek “Een inbreuk op de beveiliging die heeft geleid tot het per ongelijk onwettig vernietigen, verliezen, wijzigen, ongeautoriseerd openbaar maken van of de toegang hebben tot persoonlijke gegevens die zijn verzonden, opgeslagen of anderszins zijn verwerkt.” Bedrijven moeten elke datalek of incident binnen 72 uur, nadat zij er bekend mee zijn geworden, melde aan de “toezichthoudende autoriteit”.

Uw Plaats Identificeren in de Hiërarchie van de AVG

Om uw verplichtingen onder de AVG te begrijpen, dient u eerst vast te stellen of uw bedrijf functioneert als een controleur of een verwerker. Dit kunt u doen door de volgende drie vragen te beantwoorden:

  1. 1 Bewaart of verwerkt u persoonlijke data van EU-ingezetenen?
  2. 2 Bepaalt u welke specifieke onderdelen van de persoonlijke data zal worden opgeslagen?
  3. 3 Bepaalt u hoe de persoonlijke data gebruikt wordt die onder uw controle zijn opgeslagen?

Indien u enkel de eerste vraag met Ja beantwoordt, dan functioneert u onder de AVG enkel als een verwerker. Indien u vraag 1, 2 en 3 met Ja beantwoordt, dan bent u een controleur.

Om als controleur of verwerker uw opslag en gegevensbescherming van persoonlijke data in overeenstemming met de AVG te maken, dient u ook de volgende vragen in overweging te nemen:

  1. Kunt u de fysieke locatie van de opslag van de persoonlijke data die onder uw verantwoordelijkheid valt aanwijzen, specificeren en controleren? Dit is vooral belangrijke als u gebruikt maakt van een op een cloud gebaseerde gegevensbescherming en/of opslag of deze aanbiedt, waarbij de persoonlijke data mogelijk over meerdere fysieke locaties in datacenters over de gehele wereld verspreid kunnen worden, ook buiten de EU.
  2. Hoe structureert u de persoonlijke gegevens die u opslaat? Keuzes in dataformaat hebben implicaties om voor u de mogelijkheid te bieden deze op verzoek van de gebruiker te lezen, te wijzigen en specifieke items van de persoonlijke data te verwijderen.

Het Begrijpen van het Niet Naleven van de Privacybescherming

Uw mogelijkheid om te voldoen aan de privacy, integriteit, toegankelijkheid en verwijdering van persoonlijke date, is gedeeltelijk afhankelijk van uw mogelijkheid om te beschermen tegen en het herstellen van fouten in de gegevensopslag, back-up en het herstel. Deze fouten kunt u in drie categorieën verdelen:

  • Storingen in de apparatuur — De fysieke storing van enig onderdeel van de hardware, zoals schijfstations, opslagcontrollers en datacenters. Een voorbeeld hiervan is: een harde schijf die per ongeluk wordt blootgesteld aan een magnetisch veld, hierdoor wordt deze gedeeltelijk gewist.
  • Logische of kleine fouten — fouten als gevolg van menselijke fouten. Voorbeelden hiervan zijn: het per ongeluk verwijderen of overschrijven van bestanden tijdens het uitvoeren van een back-upprocedure, onbedoelde beschadigingen van bestandsdata als gevolg van een bug of een fout in een script of bedrijfsapplicatie; het per ongeluk verwijderen van een master boot record van een harde schijf.
  • Datalekken — fouten als gevolg van krachtige, kwaadwillende aanvallen op de IT-infrastructuur, waaronder de netwerken, servers, applicaties en eindpunten, inclusief die van kwaadwillende insiders, online criminelen en vijandige overheidsactoren. Een voorbeeld hiervan is: een ransomware aanval dat onbreekbare codering toepast op de inhoud van een harde schijf en in ruil voor de decoderingssleutel een online betaling vereist.

Het Ondersteunen van de Vereisten van het Onderwerp van de Data voor Controle en Hun Persoonlijke Data

In aanvulling tot het beschermen tegen verschillende typen van fouten in de databescherming en het rapporteren aan de EU-autoriteiten wanneer er een schending plaatsvindt, hebben de controleurs een aantal verplichtingen ten aanzien van gebruikers van wie zij persoonlijke data opslaan. Controleurs moeten de mogelijkheid van de gebruikers ondersteunen om:

  • Toegang tot de persoonlijke data te hebben, deze te lezen en aan te passen
  • Gemakkelijk hun persoonlijke data te verwijderen of dit te bewerkstelligen door bij u een verzoek in te dienen
  • Hun persoonlijke gegevens in een gemakkelijk leesbaar formaat te exporteren

Het voldoen aan het verzoek van de gebruiker zal niet altijd makkelijk zijn. Het is bijvoorbeeld gemakkelijk om aan duidelijke verzoeken zoals “Verwijder mijn mailbox en de volledig inhoud daarvan” te voldoen, het is wat moeilijker om aan meer complexe of dubbelzinnige verzoeken, zoals “Verwijder al mijn opmerkingen op dit online forum” te voldoen.

Bredere AVG-vereisten voor Gegevensbescherming en Opslag

Bedrijven die functioneren als verwerkers hebben aanvullende verplichtingen waaraan ze dienen te voldoen. Waaronder:

  • Voldoende garanties bieden dat hun diensten voldoen aan de technische en organisatorische vereisten van de AVG
  • Het gebruik van tussenpersonen om servicecontracten tussen de verwerker en hun cliënten (controleurs) vermijden, zonder de uitdrukkelijke toestemming van de controleur
  • Bij de beëindiging van een servicecontract, alle data verwijderen op hun cloud en/of datacenterinfrastructuur en hiervan voldoende bewijs leveren dat dit daadwerkelijk is gebeurd
  • Het rapporteren van schendingen en incidenten met betrekking tot datalekken aan de toezichthoudende instantie

De EU is serieus wanneer het gaat om het afdwingen van de naleving, zij dreigen met pijnlijke financiële sancties voor bedrijven die niet kunnen aantonen dat zij voldoen aan de naleving of betrapt worden op een duidelijke overtreding van de regels van de AVG voor het beschermen van de privacy van de gebruiker. Het niet bijhouden van schriftelijke rapportages om verschillende technische en organisatorische maatregelen te implementeren en/of het aanwijzen van een gegevensbeschermingsfunctionaris kan het bedrijf bijvoorbeeld een boete opleveren van €10 miljoen of 2% van de jaarlijkse wereldwijde inkomsten (afhankelijk welke van deze groter is). Indien er sprake is van een datalek of er wordt inbreuk gemaakt op de rechten van het onderwerp van de data, bijv. het verliezen of verwijderen van data zonder toestemming, kan zelfs hogere boetes met zich meebrengen van €20 miljoen of 4% van de jaarlijkse wereldwijde inkomsten (welke van de twee het grootst is).

In het algemeen dient er voor het bereiken van conformiteit aan de AVG op het gebied van gegevensopslag en gegevensbescherming (back-up), door de verwerkers en controleurs een infrastructuur en serviceoplossing te worden vastgesteld, die voldoen aan de volgende technische vereisten:

  • Controle van het onderwerp van de data met betrekking tot de opslaglocatie van de persoonlijke data. U dient in staat te zijn tegemoet te komen aan de wensen van de individuen van de data die u controleert of verwerkt voor wat betreft de opslaglocatie: op locatie en/of in een specifiek in de EU gevestigd datacenter.
  • Data encryptie. U dient te voorzien in een sterke encryptie van persoonlijke data die zich op uw eindpunten bevinden, net als bij uw lokale- en grote netwerken en in de cloud. Het encryptieproces dient volledig automatisch te zijn, en het onderwerp van de data is de enige houder van de decoderingssleutel.
  • Gegevens zoeken binnen back-ups. U dient in staat te zijn om op gedetailleerd niveau te zoeken in back-ups, dit maakt het makkelijk om de vereiste informatie voor het onderwerp van de data te vinden.
  • De mogelijkheid om persoonlijke data te wijzigen. U dient in staat te zijn gemakkelijk persoonlijke data op verzoek van het onderwerp van de data te kopiëren, wijzigen en verwijderen.
  • Data exporteren in een algemeen formaat. U dient in staat te zijn persoonlijke data in een algemeen en makkelijk te gebruiken formaat (bijv. ZIP-archieven) te exporteren.
  • Snelle gegevensherstel. U dient in staat te zijn snel persoonlijke data te herstellen vanuit back-ups in het geval er sprake is van een storing in het opslagapparaat, de software, een operatorfout of een inbreuk op de beveiliging (bijv. een ransomware aanval).

Op dezelfde manier dienen verwerkers en controleurs de volgende AVG-regels in overweging te nemen wanneer zijn kiezen voor opslag en databeschermingsinfrastructuur en diensten:

  • Grensoverschrijdende overdracht van data. Enige overdracht buiten de grenzen van de EU dient transparant en veilig te zijn. Serviceaanbieders dienen in staat te zijn de locatie waar de persoonlijke data is opgeslagen, op verzoek van het onderwerp van de data, te specificeren.
  • Melding van schendingen. In geval van een datalek of schending, dient een verwerker in staat te zijn de controleurs en klanten van enig risico binnen 72 uur op de hoogte te stellen.
  • Het recht op toegang. Back-up en opslag dienen de rechten van de onderwerpen van de data te ondersteunen om informatie te verkrijgen van de controleurs, zoals of hun persoonlijke data wordt verwerkt. De controleur dient in staat te zijn gratis een kopie van de data te verstrekken. Back-up bestanden dienen 24/7 voor de onderwerpen van de data beschikbaar te zijn. De persoonlijke data in een back-up of opslagaccount dient verwijderbaar te zijn of op verzoek te worden verwijderd.
  • Het recht om vergeten te worden. Wanneer de data niet relevant is voor het originele doel, dienen de onderwerpen van de data de mogelijkheid te hebben dat zij van een controleur kunnen eisen dat op verzoek de data wordt verwijderd.
  • Overdracht van data. De onderwerpen van de data dienen in staat te zijn om hun persoonlijke data voor eigen doeleinden te kunnen verkrijgen of te hergebruiken door dit via verschillende IT-omgevingen over te dragen. Dit omvat de mogelijkheid om de persoonlijke data in een gemakkelijk over te dragen formaat te downloaden.
  • Gegevensbeschermingsfunctionarissen. Een medewerker die de eindverantwoordelijkheid draagt voor de naleving van de AVG, ook wel bekend als de gegevensbeschermingsfunctionaris, dient in alle overheidsinstanties of grote organisaties (van 250 medewerkers of meer) te worden aangewezen.
  • Privacy by design. Controleurs en verwerkers dienen passende technische en organisatorische maatregelen te nemen, zoals pseudonimisering, die ontworpen zijn om de beginselen van de gegevensbescherming toe te passen.

Conclusie

De uiterste termijn van 25 mei 2018 voor de naleving van de AVG dreigt en de boetes voor het niet naleven zijn aanzienlijk, maar elk bedrijf, elke instelling en serviceaanbieder die diensten verlenen aan EU-burgers dienen nu de stappen te zetten om zich voor te bereiden. Begin bij het herkennen van hoe de AVG de definitie van de individuele privacyrechten versterkt en verbreedt ten opzichte van eerdere privacyregelingen zoals de 195 Databescherming Richtlijn. Maak u vertrouwd met de nieuwe terminologie van de AVG om uw plek in het raamwerk te begrijpen. En start met het aanpakken van de uitdagingen in het naleven van de regelgeving op manieren die belangrijk zijn voor de bescherming van persoonlijke data binnen de grenzen van uw controle, zoals het verhuizen van de data om uw gegevensbescherming en de opslaginfrastructuur en diensten te verbeteren om aan de nieuwe vereisten te voldoen.

Zie voor meer informatie: