AVG: hoe maak je jouw applicaties compliant?

De Algemene Verordening Gegevensbescherming (AVG), of GDPR in het Engels, gaat over ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreft het vrije verkeer van die gegevens’. De AVG biedt uniforme databeveiliging voor alle inwoners van de EU. En moet up-to-date, strenge privacy- en databescherming bieden in onze steeds meer datagedreven wereld. Hoewel de AVG-wetgeving in 2016 al op Europees niveau in werking is getreden, kregen bedrijven tot 25 mei 2018 de tijd om hun bedrijfsvoering in overeenstemming te brengen. ISAACi Rudy van Haandel en Friso Geerlings leggen uit hoe het zit met toestemmingen, audit trails, boetes en front-ends met rechtstreekse datatoegang.

GDPR en Data Virtualisatie

Expliciete toestemming en audit trails

In de AVG zijn een aantal rechten en plichten voor consumenten bedrijven vastgelegd:

  • Bedrijven moeten altijd toestemming vragen om toegang te krijgen tot data van personen, die data op te slaan of derde partijen toegang te geven tot persoonsdata.
  • Consumenten moeten ten alle tijden inzage kunnen krijgen in hun eigen persoonsdata die een bedrijf beheert. Daarbij kunnen consumenten een beroep doen op het recht om ‘vergeten te worden’. Dat heeft niet alleen betrekking op actuele data in de systemen, maar ook op data die eventueel zit opgeslagen in back-ups.
  • Data moeten overdraagbaar zijn. En dus worden opgeslagen in een standaardformaat, zodat data ook eenvoudig extern kunnen worden uitgelezen.
  • Bedrijven moeten het ‘wie kan waarbij’-principe hanteren en documenteren. Dat betekent dat bedrijven expliciet moeten kiezen en vastleggen welke medewerkers bij welke data kunnen en dus ook moeten nadenken over de noodzaak tot datatoegangen.

Het laatste punt benadrukt het belang van Role Based Access Control (RBAC) en de vastlegging van een complete audit trail rond data, zodat altijd helder is wie er wanneer bij welke data kan of is geweest. Het simpelweg hanteren van individuele log-ins op de IT-infrastructuur is niet meer voldoende. Goede inrichting van de AVG grijpt dieper in op het systeemlandschap. 

APIs voor gecontroleerde datatoegang voor front-ends

Voor veel bedrijven betekent de AVG in de praktijk dat er technisch gezien allerlei zaken moeten worden geregeld om compliant te worden. Steeds vaker wordt er door bedrijven gebruik gemaakt van losse front-ends (portals, websites, apps, AR/VR etc.) die consumentendata ophalen om allerlei businesstoepassingen mogelijk te maken. Deze data zijn vaak opgeslagen in verschillende databases, core systemen, grids en verstopt achter APIs. Alle front-ends halen deze data op via direct SQL-verbindingen of andere rechtstreekse communicatie over het interne netwerk van een bedrijf of het internet. In sommige gevallen is er een Enterprise Service Bus (ESB) geplaatst die zorgt voor uniformiteit in de vele onderlinge verbindingen tussen databases en applicaties.

Het grote aantal verbindingen, zowel met als zonder ESB, betekent dat het technisch lastig kan zijn om op alle verschillende datatoegangspunten een controle- en audit trail-laag toe te voegen. Wel gecontroleerde toegang verkrijgen? Een API-laag ontwerpen en implementeren op de verschillende services kan daar een oplossing voor zijn. In deze tijd van gecontroleerde distributie van informatie, zijn APIs vaak toch al de keuze van zowel de techniek als business. Via de API manager kun je toegangscontrole regelen en worden audit trails vastgelegd voor ‘tracebility’ en ‘auditability’.  

AVG boetes en reputatieschade

Dat de AVG verschillende aanpassingen vraagt om compliant te worden, is duidelijk. Maar wat betekent het als je je niet aan de richtlijnen houdt? Wie zaken niet goed regelt riskeert hoge boetes. Naast een bedrag dat kan oplopen tot 20 miljoen of 4% van de wereldwijde (!) omzet (per gebeurtenis), betekent een fout vaak ook negatieve publiciteit en een slecht, vertekend beeld bij toekomstige klanten. Kortom, reputatieschade, terwijl bedrijven steeds meer afhankelijk zijn van reputatie. Door de grote hoeveelheden data wereldwijd, en de ontwikkelingen in datagebruik, zullen gebeurtenissen zoals het uitlekken van gegevens of zelfs misbruik ervan, groots worden uitgemeten in de pers. Geen enkel bedrijf kan het zich daarom permitteren om niet te voldoen aan de richtlijnen van de AVG.

rudy.png
Meer weten over datatoegangen?

Heb je vragen over datatoegangen, Role Based Access Control of API management? Consultant Rudy helpt je graag!

Neem contact op