FAQ’s over Privacy Workspace

Algemeen

Waarom dienen verwerkingen van persoonsgegevens te worden gelogd?

In het algemeen kan gesteld worden dat de AVG een uitgebreide verantwoording vraagt aan organisaties die persoonsgegevens verwerken. Een bedrijf of organisatie kan aan die documentatieplicht feitelijk niet voldoen als er geen adequate logbestanden zijn. De wetgeving rondom datalekken vereist impliciet de verplichting van logging bij verwerkingen van persoonsgegevens.

Wanneer zijn gegevens ook daadwerkelijk persoonsgegevens?

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Meer details hierover zijn beschreven door de Autoriteit Persoonsgegevens.

Zijn wij AVG compliant nadat wij Privacy Workspace in gebruik nemen?

Wanneer een organisatie gebruikt maakt van de Privacy Workspace betekent dit niet automatisch dat de organisatie ook AVG compliant is.
De AVG kent veel aspecten en omvat ook zaken die de organisatie betreffen.

Een van deze onderdelen is het af kunnen leggen van uitgebreide verantwoording op het moment dat er persoonsgegevens worden verwerkt.
Aan deze documentatieplicht kan een bedrijf of organisatie feitelijk niet voldoen als er geen adequate logbestanden zijn.
Daarnaast vereist de wetgeving rondom datalekken ook impliciet de verplichting van logging bij het verwerken van persoonsgegevens.
Privacy Workspace is een applicatie die organisaties helpt bij bovenstaande verantwoordingsplicht door binnen de verschillende applicaties die gebruikt worden logregels te verzamelen op alle plekken waar persoonsgegevens worden verwerkt.

Kan Privacy Workspace gebruikt worden om te voldoen aan de BIO, specifiek aan norm 18.1.4.2?

Privacy Workspace is een onderdersteuning / geeft invulling aan de eisen waaraan organisaties moeten voldoen vanuit de AVG.

De BIO schrijft voor onder 18.1.4.2-2:

Organisaties controleren regelmatig de naleving van de privacy regels en informatieverwerking en –procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Met het siganaaloverzicht dat Privacy Workspace levert kunnen de periodieke controles plaatsvinden en kan ook nader onderzoek gestart worden. De signaallijst levert het signaal voor de nader te onderzoeken verwerkingen.

Als we de naam van de medewerker in de logging opnemen en dit wordt medegedeeld aan de burger die naar zijn geraadpleegde gegevens komt vragen, schend je dan niet de privacy van de medewerker?

Dit is inderdaad een privacy risico. Voor interne audits/controles is deze informatie relevant. Het is niet te verwachten dat deze informatie aan de burger wordt verstrekt. In de initiële rapportage voor dit doel, zullen we de naam van de bewerker niet tonen.

Wordt binnen Privacy Workspace gebruik gemaakt van profilering?

Nee, er wordt geen profilering toegepast binnen Privacy Workspace. Signalering van afwijkend gebruik van persoonsgegevens wordt wel gedaan. De parameters hiervoor worden bepaald door de verwerkingsverantwoordelijke. Het gebruikte algoritme hiervoor is transparant in het inrichtingsdocument opgenomen.

Bewaartermijn

Wat is de bewaartermijn van de loggegevens? Is dat zeven jaar of is dat korter?

De wet noemt geen specifieke bewaartermijnen voor loggegevens. Het belangrijkste om rekening mee te houden bij de bepaling van de bewaartermijn, is de relevantie van de loggegevens voor de beantwoording van de vragen die worden gesteld. Voor een (interne of externe) audit of voor de betrokkene is het zeer relevant of de informatie uit de logging betrekking heeft op één maand of op meerdere jaren. Bij een (half)jaarlijkse audit is een bewaartermijn van minimaal één of twee jaar verdedigbaar.

Bij het ontwerp van de loggingfunctionaliteit in het kader van de AVG is uitgegaan van de eisen die gelden voor logging in het zorgdomein, zoals beschreven in de NEN7513. Kort samengevat staat daar dat de belanghebbenden termijnen moeten overeenkomen voor het bewaren van loggegevens. Wanneer huidige of toekomstige wettelijke of in regelgeving bepaalde termijnen langer of gemaximeerd zijn, gaan ze boven deze overeengekomen bewaartermijnen.

Zolang de persoonsgegevens bewaard worden, horen ook de loggegevens die daarop betrekking hebben te worden bewaard, tenzij regelgeving voorschrijft dat deze termijn langer of korter dient te zijn. In de Privacy Workspace is het mogelijk om de bewaartermijn van logregels per organisatie en per applicatie in te stellen. Wanneer de bewaartermijn verlopen is, verwijdert de applicatie de logregels automatisch. De door de organisatie aangewezen medewerker, met een autorisatie op de Privacy Workspace, krijgt hierover binnen de Privacy dagelijkse up-to-date informatie.

Wat gebeurt er met de opgeschoonde logregels?

Opgeschoonde regels worden verwijderd. We passen privacy-by-design strikt toe; bewaren zolang het nodig is/mag, daarna verwijderen. Per applicatie kan de bewaartermijn aangepast worden. Standaard staat deze ingesteld op 2 jaar, ofwel 730 dagen.

Privacy workspace

Hoe kan de sleutel voor de FG gebruikt worden?

Centric maakt gebruik van een bewezen oplossing voor het sleutelbeheer.

Het is belangrijk medewerkers in de organisatie over logging en Privacy Workspace te informeren. Is er een voorbeeld hoe deze informatie met de medewerkers (en de ondernemingsraad) kan worden gedeeld?

Wij hebben hierover gesproken met organisaties die privacy-logging geactiveerd hebben, of dat overwegen. Op de website van de Autoriteit Persoonsgegevens staat hierover algemene informatie. Ook hier vindt u meer informatie.

Wordt bij het inloggen op Privacy Workspace gebruik gemaakt van two-factor-authentication (2FA)?

Ja, naast een gebruikersnaam en wachtwoord dient een gebruiker ook een eenmalige wachtwoordcode uit de de Microsoft authenticator app in te voeren.

Kunnen de loggegevens in PWS worden aangepast?

Nee, de loggegevens kunnen in de Privacy Workspace niet worden aangepast. Dit komt omdat het van groot belang is om de integriteit van de logregels te kunnen waarborgen naar zowel de burgers, verwerkers maar bijvoorbeeld ook een instelling als de Autoriteit Persoonsgegevens.

Het is mogelijk om de gegevens uit de Privacy Workspace te exporteren voor rapportage / recht op inzage doeleinden en dan is er de mogelijkheid om aanpassingen te doen in de export/rapportage. De originele gegevens in de bron (database van Privacy Workspace) blijven ongewijzigd.

Uit een logregel in Privacy Workspace blijkt dat er een medewerker informatie heeft gemuteerd waarbij ook een datum, tijdstip staat weergegeven in de loggegevens, maar ik kan in de aangesloten applicatie niets in de mutatiehistorie terugvinden. Hoe is dat mogelijk?

Het is zeer aannemelijk, maar niet onomstotelijk te bewijzen, dat gebruiker een mutatie bij een cliënt is gestart, maar deze bewerking geannuleerd heeft. Deze actie in de aangesloten applicatie resulteert in een privacylogregel van het type mutatie, maar er zal dan geen record in de tabel met mutatiehistorie binnen de aangesloten applicatie te vinden zijn.

Privacy logging

Voor welke functionaris binnen een organisatie levert de privacylogging een toegevoegde waarde?

Via de rapportages over de privacylogging heeft de Functionaris Gegevensbescherming (FG) gegevens ter beschikking wanneer een burger/klant informatie vraagt over de verwerking van zijn persoonsgegevens. Verder levert de rapportage de FG ook ondersteuning bij het uitvoeren van controle- en audittaken.

Hoe werkt de privacylogging in grote lijnen?

Tijdens elke verwerking (inzage/wijziging/verwijdering) van persoonsgegevens binnen een applicatie wordt hiervan een registratie gemaakt (logregel). Deze logregels worden tijdelijk in de applicatie opgeslagen en daarna verplaatst naar een centrale opslag. Persoonsgegevens worden versleuteld.

De logregels bevatten informatie over welke type persoonsgegevens verwerkt worden, de medewerker die de applicatie gebruikt, het proces (scherm) in de applicatie en de naam van de applicatie waarin gewerkt werd en ook welke actie uitgevoerd wordt. De FG van de organisatie is in staat rapportages met betrekking tot de verwerkte persoonsgegevens te genereren en te presenteren aan de betrokkene of te gebruiken voor (interne) controletaken.

Welke wijzen van softwaregebruik worden ondersteund door de privacylogging van Centric?

Alle wijzen van distributie worden ondersteund. Naast lokaal geïnstalleerde software (on-premise) worden ook gehoste applicaties en SaaS-applicaties ondersteund. Het component 'Privacy Logging Agent' zal worden geïnstalleerd en zal zorgdragen voor het aanleveren van de privacy logregels naar het centrale privacy logging portaal.

Is het mogelijk dat ook software die niet afkomstig is van Centric privacylogging aanlevert?

Ja, dat is mogelijk. We hebben technische documentatie beschikbaar over de wijze waarop de logregels in een database opgeslagen dienen te worden.

De informatie in de logregel wordt versleuteld. Wie heeft er toegang tot de sleutel om de informatie te ontsleutelen?

Het beheer van en de toegang tot de sleutel is voorbehouden aan de FG. Centric heeft geen toegang tot de individuele sleutels en derhalve ook geen toegang tot de centraal opgeslagen persoonsgegevens.

Wie is verantwoordelijk voor de installatie van de Logging Agent?

Het aansluiten/ installeren van de agent zal in de meeste gevallen door Centric (afdeling Managed Services) worden uitgevoerd. Dit kan echter per situatie/klant iets verschillen.

Wie kan bij de persoonsgegevens die worden opgeslagen in Privacy Workspace?

Een beperkt aantal beheerders van Centric kan de gegevens in de databases benaderen. De persoonsgegevens zijn versleuteld en dus niet leesbaar. Slechts via de Privacy Workspace is alle informatie te raadplegen. Elke organisatie die Privacy Workspace gebruikt, heeft via een beperkt aantal gebruikersaccounts toegang tot die gegevens. Overigens wordt van elke raadpleging een logregel gecreëerd, zodat volledig transparant is wie wanneer gegevens raadpleegt via Privacy Workspace.

Wordt het gebruik van Privacy Workspace ook gelogd?

Ja, alle verwerkingen (zoekopdrachten, rapportages, exports) betreffende een betrokkene en verwerker worden gelogd.

Welke (persoons)gegevens kan de Privacy Workspace vastleggen?

De logregels die aangeleverd worden aan de Privacy Workspace kunnen de volgende gegevens bevatten:

Aansluitende applicaties

Worden verwerkingen van persoonsgegevens die tijdens bulktransacties uitgevoerd worden ook gelogd?

Ja, ook automatische verwerkingen van persoonsgegevens kunnen worden gelogd. Hier is echter geen juridische noodzaak voor.

Wanneer een gebruiker in een applicatie persoonsgegevens verwerkt binnen een bepaald tijdsbestek van een dag, moet dan van elke verwerking een logregel worden aangemaakt?

De verwerking van persoonsgegevens dient op categorie-niveau te worden gedaan. De periode waarover die verwerking plaatsvindt mag worden vastgelegd, maar is niet vereist.

Wanneer een betrokkene gelinkt is aan meerdere afdelingen en voor deze afdelingen meerdere verwerkers actief zijn, welke informatie dient dan vastgelegd te worden in de logregels?

Elke verwerking van persoonsgegevens door een verwerker dient te worden gelogd. Naast de betrokkene, het type dossier en de verwerkingsactie dient ook de rol van de verwerker (in relatie tot het verwerkingsproces) vastgelegd te worden.

Is het vereist dat er ook een logregel wordt gegenereerd wanneer een persoon zijn/haar eigen gegevens raadpleegt/wijzigt via een 'mijn omgeving/portaal'?

In verband met de verantwoording van de organisatie over de verwerking van persoonsgegevens is het nuttig dat ook raadplegingen/wijzigingen door een persoon zelf worden vastgelegd in de privacy logging.

Is het mogelijk om gebruik te maken van een uniek nummer voor een persoon anders dan BSN, bijvoorbeeld een debiteurnummer?

Ja, dat is mogelijk, Er is een lijst van types identificerende nummers. Deze lijst kan, waar nodig, aangevuld worden.

Is het mogelijk dat een persoon uniek geïdentificeerd wordt binnen één organisatie over de verschillende applicaties?

Ja, dat is mogelijk. Per applicatie wordt een identificerend nummer gebruikt. Wanneer dit nummer door alle applicaties gebruikt wordt is rapportage mogelijk. Ook wanneer voor één persoon meerdere identificerende nummers worden gebruikt is het mogelijk om hier op organisatieniveau over te rapporteren.

Is er een mogelijkheid om voor één persoon verschillende identificerende nummers te koppelen?

Dat is nog niet mogelijk. Wel hebben we deze functionaliteit in de toekomst voorzien. In overleg met onze klanten wordt bepaald of en wanneer deze functionaliteit wordt toegevoegd aan de Privacy Workspace.

Waarom zijn er voor de UBMS’s (universele berichtenmodules) geen Privacy Workspace agents ingericht? Bij de aansluiting op de Privacy Workspace zijn de diverse applicaties agents ingericht: Een aantal applicaties maken ook gebruik van Key2Datadistributie UBM’s.

Wanneer applicaties informatie opvragen bij Key2Datadistributie, dan wordt hiervan geen privacy-logregel gemaakt door Key2Datadistributie. De bevragende applicatie moet dit wel doen. Wanneer een gebruiker van Key2Datadistributie via de user interface een informatieblok raadpleegt, maakt Key2Datadistributie wel een privacylogregel aan.

Wanneer persoonsgegevens verwerkt worden via een BI/MI tool (zoals Cognos van IBM), worden hiervan logregels gegenereerd die weggeschreven kunnen worden naar de Privacy Workspace?

Nee, vooralsnog is dit niet mogelijk. BI-tools beschikken niet over de mogelijkheid om logregels te genereren voor de verwerking van de persoonsgegevens waarover gerapporteerd wordt.
Er zou door een verwerkingsverantwoordelijke (bijvoorbeeld een gemeente) een PIA (Privacy Impact Assessment) uitgevoerd moeten worden. Als daaruit blijkt dat de maatregelen die worden getroffen om de gegevens te beschermen wellicht niet toereikend zijn, kan de AP om een zienswijze worden gevraagd.

De logregels worden tijdelijk in de lokale database bewaard. Welke omvang zal deze database bereiken?

De lokale database met logregels is slechts een tijdelijke buffer. De logregels worden zo snel als mogelijk verplaatst naar de centrale loggingdatabase in het Centric rekencentrum. Nadat de regels succesvol zijn overgebracht naar de database, worden de logregels in de lokale database verwijderd. In normale situaties zullen niet meer dan enkele duizenden records in de database aanwezig zijn. De verwachting is dat de maximale omvang van de database niet groter zal worden dan 10 Mb.

Heeft de logging invloed op de performance van de applicaties?

Het genereren van logregels heeft (beperkte) invloed op de performance van de applicatie. Er wordt slecht één tabel gevuld, waarvan de inhoud nagenoeg direct verplaatst wordt naar de centrale opslag. In welke mate de performance beïnvloed wordt is (nog) niet bekend.

Hoe verloopt het overbrengen van de logregels naar buiten toe?

De logregels worden door de agent via een SSL-versleutelde verbinding overgebracht naar een versleutelde database in de Secure Private Cloud-omgeving in het Centric datacenter.

Zal er voor elk item/element, dat met betrekking tot een burger verwerkt wordt, een logregel worden aangemaakt?

Nee, er zal vanuit Centric-applicaties een logregel per gegevenscategorie worden aangemaakt bij een verwerking binnen een applicatie.

Worden ook de gegevens die in zoekresultaten worden getoond als logregels weggeschreven?

Nee, voor Centric-applicaties is besloten dat deze weergave niet als een verwerking wordt gelogd.

Is het mogelijk dat zoekscherm van aangesloten applicaties ook geprotocolleerd worden, en dus ook leiden tot privacy logregels in Privacy Workspace?

Volgens de richtlijnen die Centric heeft opgezet richting voor de aansluitende applicaties op Privacy Workspace, zijn de resultaten van zoekschermen vooralsnog uitgesloten van privacy logging.

In de doorontwikkeling van de Privacy Workspace zal met de leden van de expertgroep besproken worden of deze uitbreiding van logging gewenst is.

Wordt het BSN verwerkt binnen de Privacy Workspace?

Ja, voor de gemeente is het BSN inderdaad het meest gebruikte, direct identificerende nummer.

Kan een ander nummer dan het BSN gebruikt worden als identificerend nummer?

Het is mogelijk dat andere identificerende nummers worden aangeleverd (als de aanleverende applicatie dat ondersteunt), maar daarmee is het moeilijker om een compleet antwoord te geven op de vraag ‘zijn de persoonsgegevens van persoon x in de afgelopen periode verwerkt?’ Het identificerende nummer wordt versleuteld opgeslagen en is alleen te raadplegen door een aangewezen medewerker van de organisatie, met een autorisatie op de Privacy Workspace.

Kunnen de verwerkers (lees: de medewerkers) hun gegevens inzien of daarom vragen?

In de huidige versie van de Privacy Workspace is het nog niet mogelijk om de logregels op te vragen die één medewerker heeft gecreëerd. In deze vraagstelling is de medewerker betrokkene. In onze applicatie wordt hij/zij als verwerker geregistreerd. Ook deze gegevens worden versleuteld opgeslagen en zijn alleen te raadplegen door een aangewezen medewerker van de organisatie, met een autorisatie op de Privacy Workspace.

Kun je met de Privacy Workspace mogelijk maken dat er een signaal naar de FG wordt gestuurd wanneer er verdachte patronen zijn voor muteren of raadplegen?

Ja. Elke nacht controleert de Privacy Workspace automatisch of er situaties zijn waarvoor een signaal moet worden gegenereerd. Dit zijn de situaties die worden gesignaleerd:

• er worden door een medewerker meer dan een vooringesteld aantal verwerkingen van persoonsgegevens in een vooringestelde periode uitgevoerd;
• er worden door een medewerker buiten vooringestelde dagen/tijdstippen verwerkingen in persoonsgegevens uitgevoerd;
• de persoonsgegevens van een betrokkene worden door medewerker(s) meer dan een vooringesteld aantal malen in een vooringestelde periode verwerkt.

De aantallen worden op het dashboard getoond en in een detailscherm nader gerapporteerd.

Welke detailinformatie krijgt de gebruiker met rol Functionaris Gegevensbescherming (FG) in het overzicht met Signaleringen wel te zien en de gebruiker met rol van privacy officer niet?

De detailinformatie dit de rol van FG wel ziet, maar de privacy officer niet is de (gebruikers)naam van de verwerker (medewerker) die gesignaleerd wordt. Bij de privacy officer wordt alleen de autorisatiegroep getoond (die wordt aangeleverd vanuit de aanleverende applicatie(s). Dus zolang er meerdere medewerkers binnen in een autorisatiegroep aanwezig zijn, kan de privacy officer niet met zekerheid de medewerker herkennen uit de signalen. Als de signalen aanleiding geven om nader onderzoek te doen, dient dit praktisch in overleg te gebeuren met de medewerker die de autorisatie van FG heeft binnen Centric Privacy Workspace.

Aansluiten applicaties andere leveranciers

Hoe kunnen derden koppelen aan Privacy Workspace?

Een derde partij kan door het JSON V2-formaat te implementeren op een standaard wijze koppelen met Privacy Workspace.

Werkt dit via een standaard koppeling? Zo ja, welke? Is er een beschrijving aanwezig?

De beschrijving van deze standaard koppeling is beschikbaar en kan verkregen worden door een mail te sturen aan product manager Eddy van de Werken.

Installatie

Komt er voor het aansluiten van elke applicatie op de Privacy Workspace een Centric-medewerker langs om de installatie van de agent uit te voeren?

De installatie van de agent wordt zo veel mogelijk op afstand uitgevoerd. Een Centric-medewerker voert de installatie dan uit met toestemming en onder toezicht van de opdrachtgever. Het aansluiten van de applicaties op de Privacy Workspace gebeurt zoveel mogelijk op dezelfde dag.

In de privacy-logregel is het zichtbaar dat een medewerker een mutatie in de persoonsgegevens binnen een aangesloten applicatie heeft uitgevoerd en ook wie de mutatie heeft uitgevoerd en op welke datum. De exacte inhoud van de mutatie is echter niet inzichtelijk. Kan dit in de toekomst ook inzichtelijk gemaakt worden?

Het kunnen terugvinden van de inhoud van de wijziging is onderdeel van de audittrail en wordt binnen de aangesloten applicatie gefaciliteerd. Deze informatie zou ook persoonsgegevens kunnen bevatten, die niet binnen de Privacy Workspace worden verwerkt.