Nieuws & TrendsVeiligheid
17 april 2018

Hoe gaat Embrace om met de AVG en wat betekent dat voor jouw organisatie?

Ongetwijfeld heb je de afgelopen tijd de term AVG (en of GDPR) voorbij horen komen. AVG staat voor Algemene Verordening Gegevensbescherming (GDPR is de engelse benaming). Deze wetgeving beschermt de privacy van individuen. Heel erg fijn! Maar, zoals je dat stereotypisch een beetje verwacht van wetgeving, is het niet altijd even makkelijk te begrijpen.

Dus tijd voor een kort, bondig en helder verhaal van twee Erikken; Erik van Essen, CTO van Embrace en Erik Drijfhout, security officer bij Embrace. Hieronder lees je hoe wij omgaan met de AVG, wat dat betekent voor jouw organisatie en jullie social intranet.

Wat is de AVG?

Om met de deur in huis te vallen: wat is de AVG? Erik Drijfhout legt uit dat de AVG eigenlijk al twee jaar in werking is en dat deze vanaf 25 mei 2018 van toepassing is. In Nederland hebben we de wet bescherming persoonsgegevens (WBP), hierin is al op veel punten voorgesorteerd op de AVG. Door de AVG is het nu geldend voor de hele Europese Unie.

Als persoon heb je recht op transparantie over hoe je gegevens worden verwerkt, vertelt Erik van Essen. Daarom gebruikt Embrace persoonlijke gegevens van gebruikers alleen waar ze echt nodig zijn. We gebruiken deze gegevens voor het social intranet en niet voor andere doeleinden.

Zoals gezegd, de wet is 2 jaar geleden al in werking getreden. Embrace voldoet dan ook al geruime tijd aan de eisen die deze wet stelt. Daarnaast om aantoonbaar te maken dat we onze interne processen voor elkaar hebben zijn we ISO 27001 en NEN 7510 gecertificeerd. Dit houdt onder andere in dat we jaarlijks door een externe partij worden gecontroleerd of we veilig omgaan met de gegevens die er verwerkt worden.

iso-en-nen-certificering-EmbraceSBS
Embrace is ISO 27001 en NEN 7510 gecertificeerd

Doordat we klaar zijn voor de AVG leek het ons goed en prettig voor alle Embrace gebruikers om nog een stapje verder te gaan. Samen met een externe bureau hebben we aantal nieuwe functionaliteiten toegevoegd die ervoor zorgen dat de social intranetten van Embrace een stuk gebruiksvriendelijker is geworden.

Security officer Erik Drijfhout legt uit dat er binnen de AVG gesproken worden over een aantal rechten:

Hieronder wordt per recht besproken hoe we hiermee omgaan in Embrace. Ook krijgen we vaak vragen over bijv. een privacystatement en dataminimalisatie, hier lopen we ook even bij langs.

Dit blog gaat in op de onderdelen waar de gebruiker het meeste van merkt, onderdelen Privacy by Design en Privacy by Default die worden gevolgd in de ontwikkeling van het product Embrace zijn hierin voor nu buiten beschouwing gelaten.

Welke rechten heb je als gebruiker op een Embrace platform (AVG)

Recht op inzage

Het kunnen bekijken welke persoonsgegevens er van jou worden gebruikt in Embrace.

Elke gebruiker kan makkelijk achterhalen welke gegevens er worden gebruikt in Embrace, deze staan namelijk op je profielpagina. Je kan hier nu ook een overzicht van exporteren via de export-knop. Dit kan je zelf en wanneer je bijvoorbeeld al uit dienst bent en niet meer bij je Embrace account kan, kan een omgevingsbeheerder dit ook voor je doen.

Recht op vergetelheid/ Recht op rectificatie en aanvulling

Het kunnen aanpassen en verwijderen van je persoonsgegevens.

Het corrigeren en verwijderen van persoonsgegevens was al mogelijk in Embrace, vertelt Erik van Essen. Het Embrace productteam heeft er nu voor gezorgd dat dit allemaal een stuk makkelijk gaat. Zo kan de gebruiker zelf in Embrace op zijn of haar profielpagina de gegevens aanpassen. De gebruiker kan niet zelf het proces starten maar wel een verzoek doen tot verwijdering van de gegevens. De omgevingsbeheerders van de organisatie kan op verzoek een profiel volledig verwijderen.

Het kan zijn dat door koppeling met een ander systeem, bijvoorbeeld een AD, het niet mogelijk is om bepaalde velden aan te passen in je profiel. Dit komt omdat bepaalde persoonsgegevens uit het externe systeem komen, en daardoor niet in Embrace te wijzigen zijn. Hiervoor zal je dan moeten aankloppen bij dat andere systeem om dat aan te passen.

Ook kunnen organisaties bepaalde velden verplicht stellen, dit kan worden aangegeven in een privacystatement/disclaimer (zie hieronder). Over het algemeen kan de gebruiker veel zelf aanpassen.

Het verwijderen van je persoonsgegevens is eenvoudiger geworden. Een gebruiker kan zelf het proces ingang zetten van het deactiveren van zijn of haar account. Hierdoor is dat profiel niet meer actief op het social intranet, het wordt niet meer teruggevonden in de zoekfunctie, er kunnen geen @mentions meer naartoe worden gestuurd en de gebruiker kan niet meer inloggen. Na 6 maanden worden de persoonsgegevens uit de gearchiveerde profielen op de naam na leeg gemaakt. Volledig verwijderen van het account kan alleen een omgevingsbeheerder doen. Als iemand het naam verwijderd willen hebben, kan dat ook op verzoek.

Recht op dataportabiliteit

Het recht om persoonsgegevens te ontvangen die Embrace verwerkt.

Ook dit kon al, maar het was handmatig werk. Daarom is ervoor gekozen om dit makkelijker en minder tijdsintensief te maken door de gebruiker de mogelijkheid te bieden om zelf een export te kunnen maken van de profielgegevens. Uiteraard kan de omgevingsbeheerder dit ook, die met hetzelfde gemak alsnog een export voor je kan maken.

Dataminimalisatie

Eerst, wat is dataminimalisatie? Erik Drijfhout vertelt dat dit inhoudt dat je niet meer data (persoonsgegevens) verzamelt dan nodig is om het doel te bereiken. Embrace koppelt wat dat betreft waar mogelijk zoveel mogelijk met bronsystemen. De data wordt dan niet opgeslagen in Embrace maar laat je staan in dat bronsysteem; data laten staan waar deze zijn oorsprong heeft.

Dat klinkt logisch, maar hoe werkt dit dan praktisch in Embrace? Je kan hierbij denken aan de Skype for Business koppeling vertelt Erik van Essen. Je aanwezigheid zoals deze in Skype staat kan je weergeven in je Embrace profiel. Deze informatie blijft gewoon in Skype staan. Wanneer je iemand zijn profiel bekijkt, wordt er door Embrace direct een aanvraag gedaan bij Skype en kijk je via Embrace naar de aanwezigheidsinfo zoals deze op Skype te zien is. Hetzelfde ook met bijvoorbeeld de koppeling met Office 365.

 

avg-embracesbs-dataminimalisatie
Dataminimalisatie: De data wordt niet opgeslagen in Embrace maar laat je staan in het bronsysteem

Een ander voorbeeld van dataminimalisatie is dat we zo min mogelijk profielvelden verplicht stellen. De verplichte profielvelden zoals Embrace deze hanteert zijn een naam en een mailadres. Het kan natuurlijk wel zijn dat een organisatie er zelf voor kiest om andere velden nog verplicht te stellen.

We verzamelen geen informatie om het verzamelen. De data die Embrace gebruikt moet een duidelijk doel hebben voor het gebruik van het social intranet. Het verzamelen van data voor analytische zaken voor het verbeteren van het product zal door Embrace anoniem gebeuren en staat benoemd in het privacystatement.

Privacystatement

Jij bent wettelijk verplicht om gebruikers duidelijk te informeren over welke privacygevoelige gegevens er verzameld wordt op het intranet en met welk doel. Informeren gebeurt meestal via een privacyverklaring, ook wel privacy statement. Bezoekers moeten deze eenvoudig kunnen vinden.

Wij hebben een privacystatement beschikbaar. Je kan dit statement vinden in omgevingsbeheer. Als Embrace bieden we daar onze template aan, die je verder kan toespitsen voor jouw organisatie. Wanneer gebruikers voor het eerst inloggen op Embrace (zowel als interne als externe gebruiker) krijgen ze dit privacystatement te zien en kunnen ze aangeven deze gelezen te hebben. Ook wanneer er grote veranderingen in het statement worden doorgevoerd door de organisatie krijgen gebruikers deze te zien wanneer ze inloggen.

25 mei, en dan?

Als Embrace hebben we ervoor gekozen niet simpelweg de checklist af te gaan maar een stapje verder te gaan en alle organisaties die Embrace gebruiken tegemoet te komen door het een stuk gebruiksvriendelijker te maken. Daar bovenop worden we door onze ISO 27001 en NEN 7510 certificering goed gecontroleerd om ook in de toekomst een veilig social intranet te kunnen blijven bieden aan al onze klanten. We zijn en waren al helemaal klaar voor de AVG!