Steunpunt Jeugdhulp
nog niet geregistreerd? - wachtwoord vergeten?

Zoeken | sitemap

Nieuwsbrief | schrijf uit

Lees alles over het
nieuwe registratiesysteem
 

Registreer in BINC

Registreer in Binc-HCA

Deelnemers aan de driedaagse opleiding veiligheidsconsulent kunnen hier terecht voor de antwoorden op enkele veelgestelde vragen.

Daarnaast is er ook een forum waar ze met elkaar in contact kunnen komen.

V.1 Er vinden informatie-uitwisselingen plaats waarbij men acties heeft ondernomen om de gegevens te anonimiseren. Wanneer gegevens anoniem zijn spreekt men logischerwijs niet meer van persoonsgegevens en vervallen de vereisten uit de Privacywet, maar wanneer zijn gegevens anoniem?

V.2 Wij hebben het verzoek gekregen van de jeugdrechtbank of het mogelijk is dossierstukken en verslaggeving over jongeren door te sturen via mail. Mag dit? Moeten wij deze stukken beveiligen?

V.3 Tijdens de opleiding werd er ook gesproken over MFC’s (multi-functional copiers) als mogelijke risico’s. Kun je dit toelichten?

V.4 Wat is precies een verwerker, aan welke partijen moet ik denken en wat dient er voorzien te zijn in het contract met deze verwerker?

V.5 Is het noodzakelijk om met stagiairs, vrijwilligers, medewerkers, en externen een vertrouwelijkheidsovereenkomst aan te gaan?

V.6 In de opleiding en de infosessie is er gesproken over toegangsbeheer en beperken van rechten. Wat wordt hier precies mee bedoeld?

V.7 Sensibilisering is regelmatig genoemd in de sessies, wat betekent dit in de praktijk, wat zijn goede methodes?

V.8 Hoe weet ik of mijn cloud provider de juiste garanties biedt omtrent de verwerking van persoonsgegevens?

V.9 Welke formulieren dienen te woren ingevuld voor de aanstelling van de veiligheidsconsulent en aan wie dienen deze formulieren opgestuurd te worden?

V.10 Zijn er alternatieven voor opslagdiensten zoals Google Drive, Onedrive, Dropbox, etc. die meer garanties bieden omtrent bescherming van persoonsgegevens en toch het gemak van het onderling uitwisselen van gegevens behouden?  

V.11 Zijn er veilige alternatieven voor andere diensten van b.v. Google naast de Google Drive (Calendar, Docs, Mail, etc.)?

V.12 In de leefgroep gebruiken wij gedeelde PC’s en laptops voor onze jongeren en begeleiders. Zijn er oplossingen die voorkomen dat er ongewild gegevens van een jongere achterblijven op deze PC’s en laptops na gebruik?

V.13 Tijdens de cursus kwam ter sprake dat er momenteel een rechtszaak loopt van Microsoft tegen de Amerikaanse staat rond de wettelijke verplichting om (persoons)gegevens buiten het grondgebied van de VS maar verwerkt door een Amerikaans bedrijf door te geven aan bijvoorbeeld Amerikaanse inlichtingendiensten. Als Microsoft deze rechtszaak wint zou de cloud technologie van Microsoft zoals Office 365 wel degelijk bruikbaar kunnen zijn voor de opslag van persoonsgegevens van Europese burgers. Klopt dat?

V14. Wat is er mogelijk rond het opslaan van telefoonnummers in GSM’s? Bijvoorbeeld de naam en achternaam van een ouder of kind met het telefoonnummer, mag dit qua privacy?

V15. De directie vraagt dat de onthaalmedewerkers alle inkomende post inscannen en doormailen naar de medewerkers in onze organisatie.
Als er brieven komen op naam van een begeleider, mag deze post dan opengemaakt worden omdat het werkgerelateerd is of wordt het briefgeheim dan geschonden.
Idem voor mails lezen tijdens ziekte van een medewerker: kan dit zonder specifieke toestemming van de medewerker? Of kan in een policy bepaald worden dat bij afwezigheid van de medewerker mails kunnen gelezen worden om de continuïteit van de dienst te waarborgen?

 

V.1 Er vinden informatie-uitwisselingen plaats waarbij men acties heeft ondernomen om de gegevens te anonimiseren. Wanneer gegevens anoniem zijn spreekt men logischerwijs niet meer van persoonsgegevens en vervallen de vereisten uit de Privacywet, maar wanneer zijn gegevens anoniem?

Vragenlijsten zijn een goed voorbeeld van gegevensuitwisselingen en worden veelvuldig gebruikt, zowel in de hulpverlening als daarbuiten en vaak gaat het om anonieme vragenlijsten. Anonimiseren is echter niet zo evident als men wel eens denkt: enkel naam en voornaam weglaten is meestal niet voldoende om “echte” anonimiteit te bekomen omdat andere informatie in de vragenlijst de identiteit van de betrokkene kan onthullen. Zoals benoemd in de definitie van een persoonsgegeven in de privacywet:

Art 1 §1: Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd [..]

Een belangrijk onderdeel in deze definitie is de term “identificeerbare”. In de praktijk betekent dit dat een vragenlijst die genoeg informatie bevat om iemand te identificeren, ook zonder NAW-gegevens (naam, adres, woonplaats), beschouwd wordt als een verwerking van persoonsgegevens.

Voorbeelden van “slechte” anonimisering:

  • Een vragenlijst waarbij men niet de naam of adres van de betrokkene vraagt, maar wel geslacht, postcode, geboortedatum en nationaliteit: deze laatste vier kenmerken kunnen ruim voldoende zijn om iemand te identificeren.
  • Via e-mail worden verslagen doorgestuurd waarbij de naam en voornaam vervangen worden door initialen: de initialen met aanvullende informatie uit het verslag (locatie van de voorziening, naam van begeleider, andere metadata) kunnen leiden tot heridentificatie.
  • Via fax een document doorsturen naar de rechtbank uit het dossier van de betrokkenen waarbij naam en voornaam zijn doorgestreept: ook hier geldt dat de aanvullende gegevens (de metadata) die uit het verslag te halen zijn, voldoende kunnen zijn om een persoon te heridentificeren ook al ontbreekt de naam.

In al deze gevallen dienen we dit dus als verwerkingen van persoonsgegevens te beschouwen en aldus te handelen volgens wat de privacywet ons oplegt, bijvoorbeeld: het versleutelen van de boodschap en er over waken dat enkel de bevoegden de inhoud kunnen zien.

 

V.2 Wij hebben het verzoek gekregen van de jeugdrechtbank of het mogelijk is dossierstukken en verslaggeving over jongeren door te sturen via mail. Mag dit? Moeten wij deze stukken beveiligen?

Wanneer er persoonsgegevens worden uitgewisseld is het van belang na te gaan of de beoogde ontvanger ook effectief mag beschikken over deze gegevens. De jeugdrechtbank is in dit geval een instantie die deze gegevens nodig heeft om haar wettelijk vastgelegde taak uit te voeren. Bij andere uitwisselingen dient dit steeds opnieuw bekeken te worden.

Voor de uitwisseling zelf is het belangrijk om stil te staan bij het feit dat je als verzender verantwoordelijk bent voor de beveiliging van wat je verstuurt. In dit geval gaat het om persoonsgegevens en gezien de aard van de dossiers is het waarschijnlijk dat het ook de speciale subcategorie van persoonsgegevens betreft, namelijk gevoelige persoonsgegevens (zoals beschreven in artikelen 6, 7, 8 van de privacywet). Een aangepast niveau van beveiliging is dus van belang.
Word en Excel bieden standaard de mogelijkheid aan om bestanden te beveiligen met een wachtwoord, er zijn echter een aantal problemen met deze vorm van beveiliging:

  • Word en Excel versies 2007 en eerder hadden een zeer zwakke wachtwoordbeveiliging die met publiek beschikbare programma’s is te omzeilen.
  • Deze beveiliging is vaak niet “backward compatible”: dit betekent dat een bestand uit Word 2010 dat beveiligd is met een wachtwoord vaak niet geopend kan worden in een eerdere versie van Word.

Je kunt beter gebruik maken van Zip software zoals Winzip, Winrar of 7zip. Dit zijn programma’s die een bestand comprimeren (kleiner maken) en tevens de mogelijkheid bieden om het bestand te versleutelen met een wachtwoord (Nederlandse handleiding voor Winrar: http://www.winrar.be/manual/helparcencryption.htm).
Bij het versleutelen kan je meestal kiezen welke vorm van versleuteling je wilt toepassen. Bij voorkeur gebruiken we minimaal AES128 of indien beschikbaar AES256. Wanneer een bestand versleuteld is kan het verstuurd worden naar de beoogde ontvangers. Let op dat je het benodigde wachtwoord niet in dezelfde of een andere mail zet, op die manier ondermijn je de beoogde beveiliging. Het wachtwoord wordt best via een apart medium doorgegeven zoals via SMS of per telefoon. De verdere verspreiding van de ontsleutelde persoonsgegevens valt onder de verantwoordelijkheid van de ontvanger(s).

 

V.3 Tijdens de opleiding werd er ook gesproken over MFC’s (multi-functional copiers) als mogelijke risico’s. Kun je dit toelichten?

MFC’s danken hun naam aan het feit dat ze voor van alles gebruikt kunnen worden (printen, scannen, mailen, faxen etc.) en beschikken vaak ook over een geheugen, harddisk en eigen besturingssysteem. Voor de volledigheid: een standaard laserjet/inktjet printer valt hier dus niet onder.
Om alle functionaliteiten van een MFC te kunnen gebruiken moeten er ook veel gegevens ingegeven worden of worden er gegevens bijgehouden in het geheugen, bijvoorbeeld:

  • Namen van medewerkers
  • Emailadressen van medewerkers
  • Telefoon en/of faxnummers van medewerkers en andere betrokkenen
  • IP adressen, username en wachtwoorden van mail- en fileservers
  • Lijsten van geadresseerden
  • Geprinte, gescande, ontvangen of verstuurde documenten opgeslagen in het geheugen
  • Wi-Fi wachtwoorden
  • Andere configuratiegegevens van het netwerk

Sommige MFC’s bieden beveiligingsmogelijkheden om de gegevens af te schermen, sommigen ook niet. Een (verkeerd ingestelde) MFC kan dus een bron aan (persoons)gegevens zijn die veel verder reikt dan een paar namen van medewerkers met bijbehorende risico’s rond informatiebeveiliging. Daarnaast hebben MFC’s ook onderhoud of herstelling nodig. Vaak zijn deze taken uitbesteed aan een derde partij wat betekent dat er ook hier een extra risico bestaat op een datalek, bijvoorbeeld wanneer de harddisk moet vervangen worden.

Een en ander betekent uiteraard niet dat MFC’s niet zijn toegestaan, maar het is nuttig om stil te staan bij de aanvullende risico’s die ze met zich mee kunnen brengen en het voorzien van maatregelen om deze te beperken. Mogelijke maatregelen zijn het uitschakelen van het bewaren van bestanden op de ingebouwde harddisk, of het toevoegen van versleuteling bij opslag op de harddisk. Uw leverancier kan u hier ongetwijfeld bij helpen.
 

V.4 Wat is precies een verwerker, aan welke partijen moet ik denken en wat dient er voorzien te zijn in het contract met deze verwerker?

De definitie van een verwerker luidt volgens de privacywet:

Art 1 § 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.

Een verwerker is een partij die in het kader van zijn dienstverlening toegang heeft tot de persoonsgegevens die jullie verwerken. Het gaat hierbij specifiek om een externe partij die niet rechtstreeks onder het gezag staat van de verantwoordelijke voor de verwerking maar in opdracht (en vaak extern) werkt. Denk hierbij aan een sociaal secretariaat, een dienstverlener van cloud-diensten, een archiefvernietiger, een aanbieder van een systeem voor elektronische dossiers, etc..

De privacywet schrijft voor dat je met verwerkers een overeenkomst moet afsluiten waarin een aantal specifieke voorwaarden genoemd staan. In de documentatie van de opleiding voor veiligheidsconsulenten (dag 1, slides 65-68) staan deze vereisten in detail beschreven, ook is er een voorbeeld overeenkomst beschikbaar en wordt in vraag 8 nog eens stilgestaan bij een aantal specifieke vereisten.

De reden voor een dergelijke overeenkomst is gelegen in het feit dat de verantwoordelijke voor de verwerking (de voorziening/directie) altijd verantwoordelijk blijft voor de (bescherming van de) persoonsgegevens die hij mag verwerken. Dit betekent dat de verantwoordelijke voor de verwerking er voor moet zorgen dat zijn verwerker dezelfde normen en vereisten hanteert in de verwerking van persoonsgegevens als waartoe de verantwoordelijke voor de verwerking gehouden is wanneer hij zelf de persoonsgegevens zou verwerken. De verwerkersovereenkomst (ook wel “artikel 16 overeenkomst” genoemd als verwijzing naar het betreffende artikel in de privacywet) bevat dan ook de contractuele afspraken waarmee de verwerker zich hiertoe verbindt.

Waar de verantwoordelijkheid altijd bij de verantwoordelijke voor de verwerking ligt is het wel mogelijk de aansprakelijkheid te verschuiven naar de verwerker (b.v. financiële gevolgen n.a.v. rechtzaken van betrokkenen). Dit dient dan wel voorzien te zijn in de verwerkersovereenkomst.
 

V.5 Is het noodzakelijk om met stagiairs, vrijwilligers, medewerkers, en externen een vertrouwelijkheidsovereenkomst aan te gaan?

Inderdaad. Vertrouwelijkheid is inherent aan de sector (b.v. het beroepsgeheim) maar is in het kader van de verwerking van persoonsgegevens ook voorzien in de privacywet:

Art. 4. § 1. Persoonsgegevens dienen :
1° eerlijk en rechtmatig te worden verwerkt;
2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. (…);
(…)
=> je mag de persoonsgegevens enkel verwerken voor een bepaald doeleinde, de persoonsgegevens meedelen aan een derde voor een andere doeleinde dan waarvoor je ze hebt, is dus niet toegestaan.

Art. 16 §2 3° [De verantwoordelijke voor de verwerking (…) moet:] alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;
Art 16 §3: Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie.

Concreet voorzien deze artikelen dat eenieder die onder gezag van de verantwoordelijke voor de verwerking persoonsgegevens verwerkt op de hoogte moet worden gesteld van zijn verplichtingen in het kader van de privacywet (de kennisname van persoonsgegevens, zie ook V7) en de persoonsgegevens enkel verwerkt voor een bepaald doeleinde in uitvoering van zijn functie en niet daarbuiten (vertrouwelijkheid). Beide aspecten, kennisname en vertrouwelijkheid, worden voorzien in een vertrouwelijkheidsovereenkomst (klik hier voor een model).

Met betrekking tot de vertrouwelijkheidsovereenkomst gaat het specifiek om personen die geen verwerker zijn (zie V3, hiervoor is er een verwerkersovereenkomst van toepassing). Het onderscheid zit hem in het feit dat in dit geval de personen onder rechtstreeks gezag staan van de verantwoordelijke voor de verwerking en in het kader daarvan persoonsgegevens verwerken. Verwerkers staan niet onder het rechtstreeks gezag van de verantwoordelijke voor de verwerking, vandaar dat louter een vertrouwelijkheidsovereenkomst niet volstaat.

 

V.6 In de opleiding en de infosessie is er gesproken over toegangsbeheer en beperken van rechten. Wat wordt hier precies mee bedoeld?

De verantwoordelijke voor de verwerking heeft als één van zijn taken om er voor te zorgen dat enkel personen die dit nodig hebben voor de uitoefening van hun functie toegang krijgen tot bepaalde persoonsgegevens.
Uit de privacywet:

Art. 16 §2 2° [De verantwoordelijke voor de verwerking (…) ] ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst;

Gezien het toenemende gebruik van IT systemen om persoonsgegevens te beheren is toegangsbeheer tot deze systemen een belangrijk middel om te voldoen aan dit vereiste uit de privacywet. In een applicatie zoals Insisto zal het toegangs- en gebruikersbeheer bepalen wie welke gegevens kan verwerken. Om te waarborgen dat enkel bevoegde personen persoonsgegevens kunnen verwerken is een accuraat en up-to-date toegangsbeheer dus onontbeerlijk.

Dit geldt bijvoorbeeld specifiek bij in- en uitdiensttreding: er moeten voldoende waarborgen worden voorzien zodat de juiste toegangsrechten worden toegekend of afgenomen. Bij indiensttredingen betekent dit dat de betreffende persoon toegang moet hebben tot die gegevens die hij nodig heeft voor de uitoefening van zijn functie, maar ook niet meer (b.v. toegang tot gegevens van andere voorzieningen of afdelingen). Bij uitdiensttredingen moet men voorzien dat alle bestaande toegangsrechten worden afgesloten, zeker wanneer er de mogelijkheid bestond om op afstand toegang te krijgen tot persoonsgegevens.
Het betreft hier overigens toegangsbeheer in de breedste zin: niet enkel in applicaties maar ook op het netwerk, fysieke toegang tot gebouwen, toegang tot intranet, file- en mailservers, Active Directory (Windows toegang) etc..

Belangrijke opmerking hierbij: toegangen afschermen tot op het allerlaagste niveau (dossier, tabblad, veld) is vaak niet wenselijk want onbeheersbaar. Daarom is het belangrijk te benadrukken dat men de verkregen toegangen slechts mag gebruiken voor de concrete dossiers waar men om professionele redenen toegang toe mag hebben. Men mag dus niet denken: “met mijn rechten kan ik aan alle dossiers aan, dus mag ik deze ook zonder professionele reden allemaal bekijken”. Door middel van de gepaste logging in de toepassingen - of andere technische of organisatorische maatregelen - kan er door de verantwoordelijke voor de verwerking of zijn veiligheidsconsulent controle uitgevoerd worden op de rechtmatige toegang tot dossiers en kunnen medewerkers ter verantwoording geroepen worden.

Voorbeelden van maatregelen om toegangsbeheer in te vullen:

  • Vaste checklist bij in- en uitdiensttreding of functieverandering zodat altijd duidelijk is welke rechten moeten worden afgenomen en toegekend
  • Altijd persoonsgebonden accounts, dus geen functionele accounts zoals “intake” of “begeleiding”
  • Gebruik van rollen en profielen in een applicatie: in plaats van steeds per persoon te bepalen welke toegang iemand moet hebben worden er vaste rollen bepaald (zoals voorzien in Insisto). Een persoon krijgt rollen toegewezen die reeds van te voren gedefinieerd zijn waardoor mogelijke fouten worden voorkomen
  • ...

 

V.7 Sensibilisering is regelmatig genoemd in de sessies, wat betekent dit in de praktijk, wat zijn goede methodes?

Het is een bekend gegeven dat de zwakste schakel in de bescherming van persoonsgegevens, en informatieveiligheid in zijn algemeenheid, de menselijke schakel is. Sensibilisering is de belangrijkste maatregel om dit risico te beperken, vandaar ook dat dit beschreven staat in de privacywet als één van de taken van de verantwoordelijke voor de verwerking:

Art. 16 §2 3° [De verantwoordelijke voor de verwerking (…)] alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;

In dit kader is sensibilisering expliciet meer dan het voorzien van documentatie en richtlijnen, getuige ook de woordkeuze in de privacywet: “kennisgeven”. Een klassiek voorbeeld van een verkeerde aanpak is een pagina op intranet met tientallen procedures en richtlijnen omtrent het gebruik van IT middelen, logins, dossiers en dergelijke waarvan iedereen in de organisatie weet dat die er zijn maar die niemand ooit leest. In zo’n geval zijn alle nodige richtlijnen weliswaar aanwezig maar heeft niemand er kennis van genomen. Men kan beter één bepaalde procedures van het intranet regelmatig (bijvoorbeeld twee keer per jaar) opnieuw onder de aandacht brengen via een dienstmededeling of postercampagne of alles integreren in een algemene ICT code die iedereen kent en opvolgt.

Sensibilisering kan op veel manieren voorzien worden. Een en ander zal bijvoorbeeld afhangen van de beschikbare tijd, de profielen van de betrokken medewerkers, budgetten etc. Een vrijwilliger in de keuken kan volstaan met een minder uitgebreide sensibilisering dan een jongerenbegeleider en een organisatie met 100 medewerkers zal meer tijd moeten spenderen aan sensibilisering dan een voorziening met 8 medewerkers.

Voorbeelden van sensibilisering:

  • Berichten op intranet omtrent informatieveiligheid
  • Strategische geplaatste posters (aan kopieertoestel, in toiletten, aan koffiehoek) die aandacht vragen voor informatieveiligheid
  • Opleidingen voor nieuwe/bestaande medewerkers omtrent de omgang met persoonsgegevens, afgestemd op de rol of functie binnen de organisatie
  • Bij sollicitatiegesprekken reeds het belang van de bescherming van persoonsgegevens aanhalen
  • Korte onderwerpen rond informatieveiligheid op een personeelsmeeting
  • Emails verzonden door de directie of de veiligheidsconsulent rond een specifiek onderwerp van informatieveiligheid
  • Etc.

 

V.8 Hoe weet ik of mijn cloud provider de juiste garanties biedt omtrent de verwerking van persoonsgegevens?

Zodra gebruik gemaakt wordt van de diensten van een cloud provider voor de verwerking van persoonsgegevens kan deze provider als een verwerker beschouwd worden. Er zijn een aantal aspecten waarop men zeker moet letten als men gebruik gaat maken van de diensten van cloud providers voor de verwerking van persoonsgegevens. Denk hierbij aan online opslag (bv. Wuala, Dropbox, Google Drive, Microsoft Onedrive), leveranciers van EPD’s (elektronische patiëntendossiers), Office365, managed server hosting services etc...

De directie van de voorziening is verantwoordelijke voor de verwerking van de persoonsgegevens die men verwerkt. Daarom moet men ten allen tijde controle hebben over deze verwerkingen. Wanneer men zulke gegevens plaatst bij een externe firma die deze garanties niet kan bieden (of waarmee geen bindende afspraken te maken zijn) dan kan de verantwoordelijke niet aan deze verplichting voldoen. Concreet kan bv. de Amerikaanse overheid bij een Amerikaans bedrijf (ook als de gegevens in Europa staan) zonder dat men de verantwoordelijke moet informeren de data doorzoeken via bv. de FISA-wetgeving. Gelijkaardige wetgeving bestaat ook elders.

Een belangrijk onderscheid om te duiden zijn de verschillende vormen van clouds die tegenwoordig beschikbaar zijn, namelijk de public cloud, de private cloud en de hybrid cloud:

  • Public cloud: diensten zoals Google Drive, Dropbox, Onedrive zijn public clouds. Ze zijn publiek beschikbaar en iedereen kan verbinding maken met de servers van deze cloud providers. De infrastructuur waarop deze clouds draaien is gedeeld met alle andere gebruikers van dienst. Men heeft geen zeggenschap over de gebruikte infrastructuur of enige inspraak in de gebruiksvoorwaarden. Deze diensten zijn af te raden voor het verwerken van persoonsgegevens tenzij we er aan verzender- en ontvangerskant zelf encryptie aan toevoegen bv via Winzip e.a. (zie V.2)
  • Private cloud: bij private clouds gaat het om infrastructuur waarvan de toegang en volledige zeggenschap ligt bij de afnemer. In tegenstelling tot de public cloud spreekt men hier dus over een infrastructuur die afgestemd is op de wensen van de afnemer en waarbij de afnemer enige zeggenschap heeft over wat er gebeurt met deze infrastructuur. Deze clouds zijn potentieel bruikbaar voor de verwerking van persoonsgegevens. Best neem je contact op met de veiligheidsconsulenten bij Steunpunt Jeugdhulp om te evalueren of dit kan voor de persoonsgegevens van jullie voorziening.
  • Hybrid cloud: men maakt gebruik van zowel public als private cloud infrastructuur waarbij men zelf de controle behoudt over welke gegevens waar terecht komen.

Zodra een cloud provider persoonsgegevens gaat verwerken spreekt men van een verwerker en moet men gebruik maken van een verwerkersovereenkomst waarin de nodige garanties (volgens artikel 16 privacywet, zie ook voorbeeld verwerkersovereenkomst) worden afgedwongen. Indien de provider deze overeenkomst niet wenst te tekenen, kan je er niet mee werken. Dit volgt ook uit de referentiemaatregelen die de VTC (de Vlaamse Toezichtcommissie) en de CBPL (de privacycommissie) voorstellen (en vaak opleggen in machtigingen) en die dienen ter ondersteuning van wat in artikel 16 §4 wordt geëist. Deze bepalen onder andere in hoofdstuk 6:

Logische beveiliging van de toegang:
De instelling moet zich ervan vergewissen dat de persoonsgegevens overeenkomstig hun classificatie slechts toegankelijk zijn voor de personen en toepassingsprogramma’s die hiertoe uitdrukkelijk gemachtigd zijn.

De instelling bewaart een bijgewerkte lijst van de verschillende personen die gemachtigd zijn om tot deze gegevens toegang te hebben en ze te gebruiken/verwerken, en van hun respectievelijke machtigingen.

Deze verschillende machtigingen moeten vertaald worden in technische voorzieningen en toegangscontroles tot de verschillende informaticaonderdelen (programma’s, procedures, opslag, telecommunicatie-uitrusting) die tussenkomen in een verwerking van persoonsgegevens.

Deze technische voorzieningen moeten zowel vervat zitten in de activiteiten van de beginfase (ontwikkeling van de toepassingsprogramma’s) als in die van de eindfase (back-upbeheer).

Indien het beveiligingsniveau het noodzakelijk maakt, zal de identificatie van de intervenanten vervolledigd worden met een authenticatie. Zie het voorbeeld verwerkersovereenkomst.

Andere aspecten die belangrijk zijn om na te gaan wanneer men overweegt gebruik te maken van een cloud oplossing

  • Locatie gegevens: een probleem met cloud infrastructuur is dat soms moeilijk vast te stellen is waar de gegevens zich fysiek bevinden. De privacywet stelt dat persoonsgegevens enkel mogen worden doorgegeven naar landen buiten de EU indien het beschermingsniveau in het betreffende land passend is, locatie is dus een belangrijke factor (zie ook artikel 21 in de privacywet).
  • Safe harbor: veel public cloud providers zijn Amerikaanse bedrijven die onderworpen zijn aan Amerikaanse wet- en regelgeving. De Amerikaanse overheid voorziet het zogeheten Safe Harbor label waarmee Amerikaanse bedrijven kunnen aantonen te beschikken over een passend beveiligingsniveau. Safe Harbor is echter een zelf-certificerend label en er zijn grote twijfels omtrent het werkelijke beschermingsniveau dat Safe Harbor garandeert (https://www.dp-institute.eu/eu-us-safe-harbor-framework-papieren-tijger-naar-privacy-persoonsgegevens-en-data-protection/)
  • Beschikbaarheid van de gegevens: de beschikbaarheid van gegevens is bij gebruik van een cloud provider afhankelijk van de toegang tot internet. Het is dan ook van belang dat er middels bv. een ontdubbelde verbinding op meer dan één manier toegang gekregen kan worden tot de gegevens.

Tevens relevant om nog te vermelden in het kader van gebruik van cloudoplossingen zijn recente ontwikkelingen binnen de overheid, waarbinnen zowel de KSZ (policy cloud gebruik) als de Vlaamse Overheid (nieuwe ICT code) met concrete aanbevelingen kwamen rond gebruik van cloudoplossingen.

De KSZ geeft in haar policy een overzicht van de risico’s die verbonden zijn aan het werken met cloudoplossingen en geeft ook aan wat een organisatie moet als voorbereiding op een stap naar de cloud. Een paar van deze acties:

  • Duidelijke identificatie van de gegevens, verwerkingen of diensten die in de cloud gaan worden gehost
  • Duidelijk het type cloud bepalen dat overeenkomt met de classificatie van de gegevens (zie ook opleiding dag 1 rond classificatie vanaf slides 61)
  • Het uitvoeren van een risicoanalyse die de gepaste veiligheidsmaatregelen bepalen

Ook de Vlaamse Overheid staat specifiek stil bij cloudtoepassingen in de nieuwe ICT code. De code richt zijn pijlen specifiek op de variant “public cloud” waarvoor men aangeeft dat deze voor vertrouwelijke gegevens (waaronder, maar niet uitsluitend, persoonsgegevens) niet geschikt is:

Sla alleen niet-vertrouwelijke en niet-kritische data voor de organisatie op in de cloudtoepassing, gelet op de beperkte zekerheid rond beveiliging.

 

V.9 Welke formulieren dienen te woren ingevuld voor de aanstelling van de veiligheidsconsulent en aan wie dienen deze formulieren opgestuurd te worden?

Het formulier dat dient ter aanstelling van de veiligheidsconsulent is de Evaluatievragenlijst Kandidaat Veiligheidsconsulent, gelieve deze zo volledig mogelijk in te vullen.

Enige tips:

  • In het deel “Onderwijstraject: basis- en voortgezette opleidingen” kan – voor de mensen die de driedaagse cursus volgen – vermeld worden: “cursus informatieveiligheidsconsulent ingericht door Steunpunt Jeugdhulp: drie dagen (nvdr: vermeld hier je drie vormingsdagen en 100% informatieveiligheid in laatste kolom).
  • Het formulier dient door de kandidaat veiligheidsconsulent èn door de verantwoordelijke voor de verwerking ondertekend te worden. Dit kan door beiden via e-ID dmv Adobe Reader OF door beiden op papier volgens de instructies in het handtekening vak. Merk op dat gemengd ondertekenen niet mogelijk is: één met eID en één op papier.
  • In het begeleidend schrijven vermeldt men best: “"In uitvoering van randnummer 36 van "Beraadslaging RR nr 37/2013 van 8 mei 2013: machtigingsaanvraag van het Agentschap Jongerenwelzijn om toegang te bekomen tot bepaalde informatiegegevens uit het Rijksregister en om het identificatienummer van het Rijksregister te kunnen gebruiken in het kader van de integrale jeugdzorg (RN-MA-2013-068): http://www.privacycommission.be/sites/privacycommission/files/documents/beraadslaging_RR_37_2013.pdf, deel ik u in bijlage de kandidatuur van onze veiligheidsconsulent mee"

De link naar het invulformulier vind je hier

Voor de invulling van dit formulier is tevens een uitgebreide toelichting opgesteld.
De ingevulde vragenlijst mag toegestuurd worden per email aan commission@privacycommission.be en tevens op papier aan Privacycommissie, Drukpersstraat 35, 1000 Brussel.
 

V.10 Zijn er alternatieven voor opslagdiensten zoals Google Drive, Onedrive, Dropbox, etc. die meer garanties bieden omtrent bescherming van persoonsgegevens en toch het gemak van het onderling uitwisselen van gegevens behouden?

Ja, er zijn meerdere tools beschikbaar die een beter alternatief vormen voor dergelijke uitwisselingen van gegevens. Het verschil bestaat er voornamelijk in dat deze diensten zorg dragen voor een versleuteling van gegevens op jouw toestel voordat zij op de cloud omgeving worden geplaatst.
Concreet zijn er twee categorieën van oplossingen in dit geval:

  • Volledige alternatieve diensten die eenzelfde functionaliteit als b.v. Dropbox aanbieden maar de opslag op en veiligere manier doen
  • Programma’s die een toevoeging zijn op b.v. een Dropbox: je gebruikt nog steeds Dropbox maar met een toevoeging die opnieuw zorgt voor een hoger niveau van beveiliging.
  • Alternatieve diensten:

Wuala
Teamdrive
Jottacloud
Owncloud

Toevoegingen op bestaande diensten:

Boxcryptor
Cloudfogger
Viivo

Samengevat, deze diensten zijn een veiliger alternatief dan het gebruik van Dropbox, Google Drive, Onedrive etc. en hebben wij opgenomen in deze FAQ omdat er behoefte was aan meer informatie. (Persoons)gegevens opslaan in een publieke cloud omgeving blijft altijd een risico. De risico-afweging of deze oplossingen gebruikt moeten worden ligt bij de organisatie of voorziening zelf. Tevens moet je afwegen of je hiermee nog aan alle vereisten voldoet die vereist zijn om de geplande verwerking te voldoen: bv rond gebruikersbeheer, logging, niet langer bewaren dan nodig, etc. De verantwoordelijke voor de verwerking van je voorziening is verantwoordelijk om hierin de juiste keuze te nemen.

V.11 Zijn er veilige alternatieven voor andere diensten van b.v. Google naast de Google Drive (Calendar, Docs, Mail, etc.)?

Naast verscheidene opslagdiensten zoals genoemd in  de vorige vraag zijn er nog andere cloud-diensten waar regelmatig gebruik van wordt gemaakt. Denk aan mail, gedeelde kalenders, Office365 en aanverwante diensten. Van deze diensten is geweten dat zij op dit moment niet de garanties kunnen bieden zoals gevraagd in de privacywet m.b.t. rond het verwerken van persoonsgegevens (zie ook V.8), onder andere omdat een voorziening geen enkele invloed kan uitoefenen op de wijze waarop een dergelijk bedrijf omgaat met persoonsgegevens, wie er toegang toe heeft en aan wie ze worden doorgegeven.
Betere publieke, cloud-alternatieven voor deze specifieke diensten dan deze van b.v. Google of Microsoft bestaan er op dit moment niet. De beste oplossing om aan behoeften zoals een gedeelde kalender tegemoet te komen is de benodigde infrastructuur zelf te beheren of deze in beheer te brengen bij een verwerker die wel de juiste garanties kan geven omtrent veiligheid en bescherming van persoonsgegevens (zie V.4 voor toelichting van het concept “verwerker”).
Wanneer men binnen een voorziening desondanks gebruik wilt maken van Google Calendar voor het beheren van centrale kalenders, zorg er dan voor dat er geen persoonsgegevens opgenomen worden in de kalendergegevens.

 

V.12 In de leefgroep gebruiken wij gedeelde PC’s en laptops voor onze jongeren en begeleiders. Zijn er oplossingen die voorkomen dat er ongewild gegevens van een jongere achterblijven op deze PC’s en laptops na gebruik?

Het kan voorkomen dat in een leefgroep of publiek lokaal begeleiders en jongeren dezelfde PC of laptop gebruiken voor het gebruik van internet, schoolwerk of andere leefgroepactiviteiten en dit is in wezen geen probleem. Het is echter hoe dan ook niet de bedoeling dat deze computers daarnaast worden gebruikt voor het raadplegen of anderzijds verwerken van persoonsgegevens over de jongere of andere gevoelige informatie.
Hier los van zijn er ook een aantal opties om er voor te zorgen dat eventuele ongewilde doorgifte van gegevens bij gedeeld gebruik een computer.

  • Kiosk software, bijvoorbeeld Deepfreeze: software die er voor zorgt dat een pc in een beveiligde omgeving opstart. Na gebruik volstaat een herstart om alle geregistreerde gegevens, geïnstalleerde applicaties of andere aanpassingen aan het systeem te resetten.
  • Linux Live Disc: met een linux live CD hoeft er geen besturingssysteem op de computer te staan. De computer start op aan de hand van een USB stick waar Linux op is geïnstalleerd. Alle noodzakelijke applicaties zijn normaalgezien aanwezig (tekstverwerking, spreadsheetprogramma, internet browser, etc.) en ook hier zal een herstart volstaan om alle wijzigingen aan het systeem te resetten.

Om te voorkomen dat jongeren hun bestanden of werk kwijtraken kan er gewerkt worden met één van de tools genoemd in V.10, waarmee de PC weliswaar reset maar de bestanden die buiten de PC zijn opgeslagen uiteraard bewaard blijven.
Naast technische maatregelen kan men ook terugvallen op concrete afspraken die gemaakt worden met de gebruikers van gedeelde PC’s zoals bijvoorbeeld:

  • Iedereen gebruikt een eigen account met een wachtwoord
  • Gebruikers hebben geen rechten om programma’s te installeren of systeeminstellingen te wijzigen
  • Iedereen logt uit na het gebruik van de computer
  • Er worden geen (vertrouwelijke) bestanden of gegevens opgeslagen of geraadpleegd op de gedeelde computer.

 

V.13 Tijdens de cursus kwam ter sprake dat er momenteel een rechtszaak loopt van Microsoft tegen de Amerikaanse staat rond de wettelijke verplichting om (persoons)gegevens buiten het grondgebied van de VS maar verwerkt door een Amerikaans bedrijf door te geven aan bijvoorbeeld Amerikaanse inlichtingendiensten. Als Microsoft deze rechtszaak wint zou de cloud technologie van Microsoft zoals Office 365 wel degelijk bruikbaar kunnen zijn voor de opslag van persoonsgegevens van Europese burgers. Klopt dat?

Er loopt inderdaad een rechtszaak van Microsoft tegen de Amerikaanse staat om te voorkomen dat zij privé-emails van een gebruiker van Microsoft mail diensten moeten doorgeven. Het gaat specifiek om data die op het Europees grondgebied staat, Ierland om precies te zijn.
Een overwinning door Microsoft in deze rechtszaak zou een eerste stap kunnen zijn voor Amerikaanse bedrijven als het gaat om het juist en wettelijk verwerken van persoonsgegevens van EU burgers binnen de grenzen van de EU. De rechtszaak heeft echter niet noodzakelijk impact op andere Amerikaanse wetgeving die Amerikaanse inlichtingendiensten inzage geeft in persoonsgegevens van EU burgers.
Het inhoudelijke aspect van deze zaak nog daargelaten gaat het hier om een juridische strijd die vermoedelijk nog even zal aanslepen. Deze zal dus op korte termijn geen soelaas bieden voor een voorziening die overweegt te migreren naar bijvoorbeeld een Microsoft365 oplossing met opslag van mail en bestanden in de cloud.

 

V.14 Wat is er mogelijk rond het opslaan van telefoonnummers in GSM’s? Bijvoorbeeld de naam en achternaam van een ouder of kind met het telefoonnummer, mag dit qua privacy?

Het gaat in dit voorbeeld specifiek om voornaam, achternaam en telefoonnummer, waardoor het hier duidelijk om persoonsgegevens gaat. We gaan er voor de beantwoording voor de vraag vanuit dat de betrokkene toestemming heeft gegeven om zijn contactgegevens te verwerken, dit is een belangrijke voorwaarde voor de betreffende gegevens überhaupt verwerkt mogen worden door de betrokken medewerker. Deze toestemming kan bekomen worden bij de intake van de jongere of erna.
Allereerst dient er een onderscheid gemaakt te worden tussen telefoons die ter beschikking gesteld worden door de werkgever aan de werknemer en eigen telefoons van de werknemer.
Wanneer het gaat om een zakelijke telefoon, m.a.w. ter beschikking gesteld door de voorziening aan de medewerker ter ondersteuning van de uit te voeren werkzaamheden, kan de werkgever hier concrete richtlijnen rond formuleren, bijvoorbeeld rond de beveiligingsinstellingen van de telefoon. De werkgever is in zijn rol als verantwoordelijke voor de verwerking immers gehouden de nodige waarborgen te voorzien voor de verwerking van persoonsgegevens, dit geldt ook voor persoonsgegevens die een personeelslid in het kader van zijn werkzaamheden verwerkt op een GSM. Voorbeelden van beveiligingseisen die gesteld kunnen worden:

  • Instellen van een pincode, bij voorkeur niet uitschakelbaar door gebruiker zelf
  • Indien aanwezig activeren van de ingebouwde versleutelingsmogelijkheden van de telefoon
  • Deactiveren van de (vaak standaard actieve) synchronisatie van contacten en andere gegevens met Google of iCloud (Apple)
  • Gebruik van andere gegevens dan voornaam en achternaam om een contact te identificeren (initialen, een (dossier)nummer, etc. Let op, dit is niet hetzelfde als een volledige anonimisering)
  • Gebruik maken van een MDM (mobile device management) software waarbij de werkgever via software controle krijgt over de data op de GSM
  • Etc.

Wanneer het gaat om een privé telefoon die gebruikt wordt voor zakelijke doeleinden is het van belang dat ook hier de nodige afspraken zijn: het is aan de werkgever om toe te staan of te verbieden dat werknemers hun privé telefoon gebruiken voor professionele activiteiten. Wanneer men dit wil toestaan kan men dezelfde beveiligingseisen opleggen als degene die hierboven beschreven zijn. Het is vervolgens de keuze van de werknemer om zich hieraan te conformeren of er voor te kiezen zijn privé telefoon niet te gebruiken voor professionele activiteiten.
Gelet op voorgaande is het dus niet de facto een probleem dat men deze telefoonnummers in een telefoon opslaat, maar enkel wanneer dit gebeurt op basis van duidelijke afspraken waarin de voorwaarden staan rond het opslaan van gegevens in de GSM en dat deze voorwaarden ook nageleefd worden.
Dit houdt ook in dat deze gegevens gewist worden wanneer de jongere niet langer in de voorziening verblijft.
 

V15. De directie vraagt dat de onthaalmedewerkers alle inkomende post inscannen en doormailen naar de medewerkers in onze organisatie.
Als er brieven komen op naam van een begeleider, mag deze post dan opengemaakt worden omdat het werkgerelateerd is of wordt het briefgeheim dan geschonden.
Idem voor mails lezen tijdens ziekte van een medewerker: kan dit zonder specifieke toestemming van de medewerker? Of kan in een policy bepaald worden dat bij afwezigheid van de medewerker mails kunnen gelezen worden om de continuïteit van de dienst te waarborgen?

Voor wat betreft de post die toekomt op het werk: ook hier geldt het briefgeheim en volgens de wet is dit onschendbaar. Het is echter wel zo, vergelijkbaar met electronische post, dat het bestuur van een organisatie duidelijke richtlijnen kan uitvaardigen door in het arbeidsreglement of in bijlages daarvan een concreet postbeleid uit te werken. Hierin kan bijvoorbeeld opgenomen worden dat geen prive post toe dient te komen op het werkadres. Dit zorgt er voor dat je als werkgever sterker staat in geval van discussies, maar is nog steeds geen vrijbrief om toekomende post te mogen openen zonder gegronde, en zeker niet het systematisch openen van alle post.

Een gegronde reden zou bijvoorbeeld het aangehaalde voorbeeld van ziekte van een medewerker zijn waarbij immers de continuiteit van de dienstverlening moet worden gewaarborgd, in zo’n geval zou het voor de hand liggen dat degene die de post opent een andere begeleider uit dezelfde leefgroep is.

Er is in ieder geval geen eenduidig ‘dit mag nooit’ of ‘dit mag altijd’ antwoord te geven. Om te bepalen of de post geopend mag worden, is b.v. ook de adressering op de brief van belang:

  • staat er uitdrukkelijk ‘vertrouwelijk’ op, of ‘persoonlijk’ zal een werkgever deze brieven niet mogen openen
  • staat er op ‘ter attentie van bedrijf X, persoon Y’ mag een werkgever daarentegen weer wel aannemen dat het hier om professionele post gaat en die ook aan het bedrijf is gericht, deze zou wel geopend kunnen worden mits ook zo aangegeven in het postbeleid

Ook de afzender kan een indicatie zijn: post van een klant van het bedrijf is waarschijnlijk professioneel en kan eerder geopend worden door de werkgever, post van een sociaal secretariaat of van een privé persoon zal eerder vertrouwelijk zijn.

Specifiek naar voorzieningen toe hierover nog een randopmerking: ook louter professionele post (b.v. briefwisseling met ouders) kan ondanks de werkgerelateerde inhoud vertrouwelijk zijn wanneer hier gegevens instaan die vallen onder het beroepsgeheim en waarvan enkel de begeleiders die de betrokken jongere begeleiden op de hoogte dienen te zijn. Zie in dat verband ook de opmerking hierboven: bij ziekte best een begeleider uit dezelfde leefgroep (gedeeld beroepsgeheim).

Concrete aanbevelingen:

  • werk als werkgever een duidelijk postbeleid uit waarin staat wat wel en niet mag toekomen op het werk en onder welke specifiek genoemde, gegronde redenen post toch geopend kan worden (altijd muv brieven waar specifiek ‘vertrouwelijk’ of ‘persoonlijk’ opstaat)
  • zorg dat alle medewerkers hiervan op de hoogte zijn, en dat zij ook weten dat eventuele persoonlijke post best specifiek ‘vertrouwelijk’ of iets dergelijks vermeldt op de envelop
  • hoe dan ook, zeker gezien de sector, kies je voor een zeer terughoudende aanpak met betrekking tot het openen van post van medewerkers
  • onder geen beding systematisch alle post laten openen door onthaalmedewerkers
     

Druk deze pagina af
Verstuur deze pagina