Data Privacy Management & Security

Weet welke persoonsgegevens waar zijn opgeslagen – Data Discovery

 

 

Vanuit de AVG zijn we ondertussen bekend met, en als het goed is ook bewust van, termen zoals “data-minimalisatie”, “privacy by default”, “bewaartermijn”, “doelbinding” en “wettelijke grondslag”.

 

Al deze termen hebben een impact op de persoonsgegevens die je al jaren ergens hebt opgeslagen, waarvan je niet eens meer weet dat je het hebt, waar de bewaartermijnen al lang van zijn verstreken en die je eigenlijk niet (meer) mag hebben; zoals het BSN bijvoorbeeld, maar ook talloze CV’s.

 

Het gaat hier om zogenaamde “ongestructureerde data”. Dit zijn gegevens die niet in databases zijn opgeslagen maar als bestanden vanuit onze productie tools zoals Word, Excel en Powerpoint.

 

Denk maar eens na over hoe de afgelopen jaren gewerkt is; gegevens zijn uit databases geëxporteerd naar Excel, daar zijn analyses in gemaakt, deze zijn vervolgens geïnterpreteerd en in het juiste kader geplaatst, in een rapportage opgesteld in Word en daarna in Powerpoint samengevat om alles te kunnen presenteren.

Vervolgens slaan we dit op. Lokaal of in een folder op de server waar het team bij kan, zij slaan dit weer lokaal op of sturen het door via e-mail, dropbox etc. De verspreiding van data gaat snel en erg makkelijk.

 

Als je wilt voldoen aan de AVG zal je alle folders en bestanden handmatig moeten doorzoeken op de aanwezigheid van persoonsgegevens, alvorens je de juiste maatregelen kan treffen. Je zult elk document, Word, Excel, PDF etc, moeten bekijken om daar een inschatting van te kunnen maken.

 

Privy heeft hier een programma voor die dit werk voor je kan doen, onze data discovery applicatie.

 

 

Weet waar persoonsgegevens zijn opgeslagen -  tot op folder niveau

 

De Data Discovery applicatie werkt met lokale agents die de te vinden persoonsgegevens vanuit een centrale management applicatie krijgen gepushed. De lokale agents worden, net zoals anti-virus software, geïnstalleerd op alle te scannen werkstations zoals PC’s, laptops en/of servers. De centrale applicatie communiceert met de agents in het netwerk en pushed de te vinden persoonsgegevens naar de agents. De lokale agents scannen het systeem en rapporteren terug wat zij hebben gevonden.

 

 

Alle gevonden data wordt versleuteld en met een label gerapporteerd

 

Uiteraard is onze applicatie geen bron van de verspreiding van persoonsgegevens. Wanneer persoonsgegevens zijn gevonden worden deze versleuteld door hashing toe te passen. Noch wij, noch onze leverancier, kunnen de hash terugdraaien. Wij kunnen de gevonden persoonsgegevens dus niet zichtbaar maken.

Wat de applicatie daarna doet is dat er een label (“tag”) aan wordt gehangen dat vertelt welke persoonsgegevens gevonden zijn. Instellingen in de centrale applicatie weten vervolgens wat de risico classificatie van de gevonden persoonsgegevens is en of een alert naar de verantwoordelijke moet worden gestuurd.

 

 

De exacte locatie is bekend

 

Het allergrootste voordeel is dat de applicatie precies vertelt in welke map het document staat waarin het gezochte persoonsgegeven is gevonden. Vervolgens kan je beginnen met het bepalen wat je eerste acties moeten zijn volgens het risicobeleid van je organisatie.

 

 

Gestructureerde zoekacties

 

Voordat de applicatie wordt ingericht en de agenten worden geïnstalleerd zal je goed in kaart moeten hebben gebracht naar welke persoonsgegevens gezocht moet gaan worden. Je verwerkingsregister is hierbij een eerste aanzet.

 

De eerste zoekactie geeft je de “ist”, de huidige stand van zaken. Doordat wij de centrale applicatie in een datacenter hosten kunnen wij de dienst na een maand uitzetten en de rapportage opleveren. Uiteraard krijg je zelf ook een login om het dashboard van de centrale applicatie te kunnen bekijken.

 

 

Repeterende zoek acties

 

Uiteindelijk is het het meest interessant om uit te zoeken hoe je organisatie als geheel omgaat met de hoeveelheid van persoonsgegevens in verwerking. Wanneer een trend zichtbaar wordt kan je daar op sturen.

Ten einde een trend inzichtelijk te krijgen zal je op regelmatige basis de scan moeten herhalen. Afhankelijk van de hoeveelheid van persoonsgegevens in verwerking binnen je organisatie kan je er voor kiezen de scan één keer per jaar te doen. Je kunt er ook voor kiezen om het eerste jaar ieder kwartaal te scannen en later terug te schalen naar één keer per half jaar of jaar. Voor ons is het een kwestie van de communicatie tussen centrale applicatie en de agenten aan- of uitzetten.

 

 

Ad hoc zoek acties

 

Mocht het zo zijn dat een bepaald gegeven of document (niet zijnde een persoonsgegeven) gevonden dient te worden in het netwerk, dan kan dit altijd als een ad hoc zoekopdracht aan de agenten worden doorgegeven.

Denk bijvoorbeeld aan een specifiek emailadres waar ransomware vandaan is gekomen of documenten met de classificatie “geheim” of “vertrouwelijk”.

 

 

Uw personeel informeren.

 

Mag dat zomaar, alle systemen van het personeel scannen?

Ja, dat mag, uiteraard onder bepaalde voorwaarden.

 

Denk hierbij aan artikel 12 van de AVG en, onder omstandigheden ook artikel 13. Voor bepaalde controle doeleinden mag een scan ook heimelijk plaatsvinden. Ook in dit geval zijn er speciale randvoorwaarden, denk dan aan vermeend frauduleus handelen bijvoorbeeld.

Hou rekening met de Ondernemingsraad. Voor de invoering van een gedragscode voor internet- en emailgebruik is de instemming van de OR nodig. Wanneer je email inhoud en internetlogfiles scant zou dit gezien kunnen worden als een controle van de medewerkers.

 

 

Een actief onderdeel van uw privacy boekhouding

 

Zoals de accountant ieder jaar de jaarrekening van uw organisatie vaststelt, zo kan onze data discovery applicatie rapporteren over de toe- of afname van persoonsgegevens in verwerking binnen uw organisatie. Dit is een goede maatstaf van het risico waaraan uw organisatie wordt blootgesteld op het gebied van de AVG.

 

 

Technisch

 

Op dit moment zijn alleen Microsoft omgevingen te scannen. Zolang een agent kan worden geïnstalleerd op de laptop, pc of server en kan communiceren met de centrale applicatie, kan de agent zijn werk doen.

 

De inhoud van eventuele netwerkschijven van bijvoorbeeld Synology zal eerst gekopieerd moeten worden op een harde schijf van een pc waar de agent op staat.

 

De centrale applicatie wordt gehost vanuit de Amazon cloud in de USA.

 

 

Rapportage

 

Wij leveren als rapportage een Excel draaitabel op waarin alle ruwe data, niet opgeschoond, is opgenomen. De draaitabel wordt zo opgesteld dat je de hoog risico gegevens, volgens uw eigen aangeleverde risico kwalificatie, als eerste inzichtelijk hebt.

 

Mocht je willen dat alle data eerst wordt opgeschoond dan kunnen wij dat voor je faciliteren. Meer informatie hieromtrent kan je aanvragen via Info@Privy.nl.

 

 

Kosten*

 

De initiële opstartkosten bedragen € 1.500,00**.
De opstartkosten van een eventuele volgende scan bedragen per keer € 500,00**.

Hierbij gaan wij er van uit dat je zelf inzichtelijk hebt gemaakt naar welke (persoons)gegevens gezocht moet worden en je zelf de installatie op de pc’s, laptops en servers verzorgt.

 

Uiteraard verzorgen wij een handleiding voor de installatie van de agents en een verificatie mogelijkheid om te zien of de agent inderdaad communniceert met de centrale applicatie.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Reken voorbeeld

 

Stel, je hebt 325 te installeren agenten en je laat de scan twee maal één maand doen. De eerste maand rapporteren 320 agenten terug en de tweede maand 293.

 

Totale kosten eerste scan:

 

 

 

 

 

 

 

 

(€ 12,28 per rapporterende agent)

 

Totale kosten tweede scan:

 

 

 

 

 

 

 

 

 

(€ 9,40 per rapporterende agent)

 

*      alle bedragen excl BTW

**    100% binnen dertig na opdracht te voldoen, werkzaamheden starten in overleg of binnen 5 werkdagen na
        ontvangst betaling.

***  100% binnen dertig dagen na oplevering van rapportage te voldoen

 

 

 

Aantal rapporterende agents

 

1

101

251

501

1001+

 

 

 

 

- 100

- 250

- 500

- 1000

kosten per maand per agent***

 

€ 8,50

€ 7,50

€ 6,50

€ 5,00

€ 3,50

 

100 *  €  8,50 =

150 *  €  7,50 = 70+ *  €  6,50 =

 

320

Opstartkosten

Agenten

 

 

 

Totaal

€  1.500,00

€     850,00

€  1.125,00

€     455,00+

 

€  3.930,00

Opstartkosten

Agenten

 

 

 

Totaal

 

100 *  €  8,50 =

150 *  €  7,50 = 43+ *  €  6,50 =

 

293

€     500,00

€     850,00

€  1.125,00

€     297,50+

 

€  2.754,50