We hebben de meest gestelde vragen over de Privacy Workspace voor u op een rijtje gezet. Staat uw vraag er niet bij? Mail ze naar privacyworkspace@centric.eu.
Algemeen
Waarom dienen verwerkingen van persoonsgegevens te worden gelogd?
In het algemeen kan gesteld worden dat de AVG een uitgebreide verantwoording vraagt aan organisaties die persoonsgegevens verwerken. Een bedrijf of organisatie kan aan die documentatieplicht feitelijk niet voldoen als er geen adequate logbestanden zijn. De wetgeving rondom datalekken vereist impliciet de verplichting van logging bij verwerkingen van persoonsgegevens.
Wanneer zijn gegevens ook daadwerkelijk persoonsgegevens?
De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Meer details hierover zijn beschreven door de Autoriteit Persoonsgegevens.
Als we de naam van de medewerker in de logging opnemen en dit wordt medegedeeld aan de burger die naar zijn geraadpleegde gegevens komt vragen, schend je dan niet de privacy van de medewerker?
Dit is inderdaad een privacy risico. Voor interne audits/controles is deze informatie relevant. Het is niet te verwachten dat deze informatie aan de burger wordt verstrekt. In de initiële rapportage voor dit doel, zullen we de naam van de bewerker niet tonen.
Bewaartermijn
Wat is de bewaartermijn van de loggegevens? Is dat zeven jaar of is dat korter?
De wet noemt geen specifieke bewaartermijnen voor loggegevens. Het belangrijkste om rekening mee te houden bij de bepaling van de bewaartermijn, is de relevantie van de loggegevens voor de beantwoording van de vragen die worden gesteld. Voor een (interne of externe) audit of voor de betrokkene is het zeer relevant of de informatie uit de logging betrekking heeft op één maand of op meerdere jaren. Bij een (half)jaarlijkse audit is een bewaartermijn van minimaal één of twee jaar verdedigbaar.
Bij het ontwerp van de loggingfunctionaliteit in het kader van de AVG is uitgegaan van de eisen die gelden voor logging in het zorgdomein, zoals beschreven in de NEN7513. Kort samengevat staat daar dat de belanghebbenden termijnen moeten overeenkomen voor het bewaren van loggegevens. Wanneer huidige of toekomstige wettelijke of in regelgeving bepaalde termijnen langer of gemaximeerd zijn, gaan ze boven deze overeengekomen bewaartermijnen.
Zolang de persoonsgegevens bewaard worden, horen ook de loggegevens die daarop betrekking hebben te worden bewaard, tenzij regelgeving voorschrijft dat deze termijn langer of korter dient te zijn. In de Privacy Workspace is het mogelijk om de bewaartermijn van logregels per organisatie en per applicatie in te stellen. Wanneer de bewaartermijn verlopen is, verwijdert de applicatie de logregels automatisch. De door de organisatie aangewezen medewerker, met een autorisatie op de Privacy Workspace, krijgt hierover binnen de Privacy dagelijkse up-to-date informatie.
Privacy workspace
Hoe kan de sleutel voor de FG gebruikt worden?
Centric maakt gebruik van een bewezen oplossing voor het sleutelbeheer.
Het is belangrijk medewerkers in de organisatie over logging en Privacy Workspace te informeren. Is er een voorbeeld hoe deze informatie met de medewerkers (en de ondernemingsraad) kan worden gedeeld?
Wij hebben hierover gesproken met organisaties die privacy-logging geactiveerd hebben, of dat overwegen. Op de website van de Autoriteit Persoonsgegevens staat hierover algemene informatie. Ook hier vindt u meer informatie.
Kan een gebruiker van de Privacy Workspace naast de verificatie met een e-mailadres zich ook met een token of sms verifiëren?
Deze functionaliteit is nog niet beschikbaar in HelloMe. HelloMe wordt als authenticatiemodule gebruikt binnen Privacy Workspace
Privacy logging
Voor welke functionaris binnen een organisatie levert de privacylogging een toegevoegde waarde?
Via de rapportages over de privacylogging heeft de Functionaris Gegevensbescherming (FG) gegevens ter beschikking wanneer een burger/klant informatie vraagt over de verwerking van zijn persoonsgegevens. Verder levert de rapportage de FG ook ondersteuning bij het uitvoeren van controle- en audittaken.
Hoe werkt de privacylogging in grote lijnen?
Tijdens elke verwerking (inzage/wijziging/verwijdering) van persoonsgegevens binnen een applicatie wordt hiervan een registratie gemaakt (logregel). Deze logregels worden tijdelijk in de applicatie opgeslagen en daarna verplaatst naar een centrale opslag. Persoonsgegevens worden versleuteld.
De logregels bevatten informatie over welke type persoonsgegevens verwerkt worden, de medewerker die de applicatie gebruikt, het proces (scherm) in de applicatie en de naam van de applicatie waarin gewerkt werd en ook welke actie uitgevoerd wordt. De FG van de organisatie is in staat rapportages met betrekking tot de verwerkte persoonsgegevens te genereren en te presenteren aan de betrokkene of te gebruiken voor (interne) controletaken.
Welke wijzen van softwaregebruik worden ondersteund door de privacylogging van Centric?
Alle wijzen van distributie worden ondersteund. Naast lokaal geïnstalleerde software (on-premise) worden ook gehoste applicaties en SaaS-applicaties ondersteund. Het component 'Privacy Logging Agent' zal worden geïnstalleerd en zal zorgdragen voor het aanleveren van de privacy logregels naar het centrale privacy logging portaal.
Is het mogelijk dat ook software die niet afkomstig is van Centric privacylogging aanlevert?
Ja, dat is mogelijk. We hebben technische documentatie beschikbaar over de wijze waarop de logregels in een database opgeslagen dienen te worden.
De informatie in de logregel wordt versleuteld. Wie heeft er toegang tot de sleutel om de informatie te ontsleutelen?
Het beheer van en de toegang tot de sleutel is voorbehouden aan de FG. Centric heeft geen toegang tot de individuele sleutels en derhalve ook geen toegang tot de centraal opgeslagen persoonsgegevens.
Wie is verantwoordelijk voor de installatie van de Logging Agent?
Het aansluiten/ installeren van de agent zal in de meeste gevallen door Centric (afdeling Managed Services) worden uitgevoerd. Dit kan echter per situatie/klant iets verschillen.
Wie kan bij de persoonsgegevens die worden opgeslagen in Privacy Workspace?
Een beperkt aantal beheerders van Centric kan de gegevens in de databases benaderen. De persoonsgegevens zijn versleuteld en dus niet leesbaar. Slechts via de Privacy Workspace is alle informatie te raadplegen. Elke organisatie die Privacy Workspace gebruikt, heeft via een beperkt aantal gebruikersaccounts toegang tot die gegevens. Overigens wordt van elke raadpleging een logregel gecreëerd, zodat volledig transparant is wie wanneer gegevens raadpleegt via Privacy Workspace.
Welke (persoons)gegevens kan de Privacy Workspace vastleggen?
De logregels die aangeleverd worden aan de Privacy Workspace kunnen de volgende gegevens bevatten: