Even voorstellen: Ronald

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ronald Jacobs. We stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Ronald: Mijn voornaamste taak is het commercieel ontwikkelen van de huidige Lumen diensten. Het creëren van nieuwe klanten buiten de bestaande markten. Voor Lumen Group is het actief benaderen van de markt in ontwikkeling en daar ga ik mijn actieve bijdragen aan leveren.

Hoe zien jouw werkdagen eruit?

De dag begint vroeg met een kop koffie en een snelle blik op de markt. Aan de hand van de directe en lange termijn kansen maak ik een dagplanning. In de dagstart bespreken wij elke ochtend de dag met het team. Hier krijg ik van het team extra input wat mij weer scherper maakt om mijn dagtaken goed in te vullen. De rest van de dag bestaat grotendeels uit het benaderen van de markt, het netwerk en het opvolgen van commerciële kansen.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

In de periode 2005 tot nu heb ik mij gespecialiseerd in het vermarkten van privacy en informatiebeveiligingsdiensten. Met de ISO 27001, NEN 7510 en de aangrenzende normenkaders heb ik al vele certificatie, audit, training en adviesdiensten mogen vercommercialiseren. Met de AVG heb ik ervaring opgedaan met advies en interim-management. Mijn professionele achtergrond was voor mij het eerste vinkje. Nadien heb ik gedurende de sollicitatiegesprekken een goed beeld kunnen krijgen van de organisatie, de managementstijl, kwaliteit en klantgerichte werkwijze. Ik was erg onder de indruk en dat was voor mij het tweede vinkje wat ik kon zetten en wist ik dat het een perfecte match was.

Wat zijn jouw 3 opvallendste eigenschappen?

Ondernemend, gericht op het ontzorgen van mijn klanten en werkt altijd aan continue verbetering.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

De quote “Make a customer, not a sale” van Katherine Barchetti, staat voor mijn werkstijl. Door de klant centraal te stellen en altijd kwaliteit te leveren blijven klanten en trekt het nieuwe klanten aan.

Hoe kan ik privacyvriendelijk online vergaderen?

Hoe kan ik privacyvriendelijk online vergaderen?

 

Lumen Group volgt de privacyontwikkelingen zowel in binnen- als buitenland. Onlangs publiceerde de Spaanse toezichthouder (AEPD) een interessant artikel over privacy bij het online vergaderen. Hierin geeft de AEPD aan waar je vanuit privacyoogpunt op moet letten bij online vergaderen. Wij hebben dit hieronder samengevat.

Online vergaderingen door middel van videobellen en spraakoproepen via video- of webservices zijn aan de orde van de dag, vooral als gevolg van de COVID-19-pandemie. Hoewel we ons steeds meer bewust zijn van de noodzaak om onze privacy en veiligheid online te beschermen, vereisen deze vergaderingen wel specifieke maatregelen.

Een recent voorbeeld hiervan vond afgelopen november plaats, toen een Nederlandse journalist Daniël Verlaan een videoconferentie van de EU defensieministers bezocht na een fout van het team van de Nederlandse minister van Defensie: de toegangscode voor de bijeenkomst was op sociale media geplaatst.

Bij het voorbereiden van een  online vergadering moet je daarom rekening houden met privacyrisico’s en ervoor zorgen dat ongewenst gedrag van gesprekspartners, (voormalige) collega’s, ontevreden werknemers of zelfs cybercriminelen wordt voorkomen. Door een aantal simpele voorzorgsmaatregelen te nemen, kun je effectief en veilig  online vergaderen én tegelijkertijd incidenten vermijden die een inbreuk op persoonsgegevens vormen of anderszins de privacy in gevaar brengen.

Basisregels voor veilige en privacyvriendelijke online vergaderingen

Hieronder zijn er een aantal basisregels voor het veilig en privacyvriendelijk online vergaderen. Deze lijst is niet uitputtend, maar geeft wel goede basistips die je kunt overwegen en toepassen. 

  • Houd je aan het organisatiebeleid met betrekking tot online vergaderingen: maak bijvoorbeeld alléén gebruik van door de organisatie goedgekeurde technologieleveranciers.
  • Wijs bij vergaderingen met een groot aantal deelnemers van meerdere organisaties één deelnemer aan die de organisator helpt met controle van deelnemers en met privacy- en beveiligingskwesties.
  • Denk van tevoren na over de gevoeligheid van de te bespreken onderwerpen, de identiteit van de aanwezigen en de mogelijke verspreiding als de meeting wordt opgenomen.
  • Beperk het hergebruik van toegangscodes/links. Als je al een tijdje dezelfde code/link gebruikt, heb je deze waarschijnlijk met meer mensen gedeeld dan je je nog kunt herinneren.
  • Als het onderwerp van de vergadering gevoelig is (t.a.v. het onderwerp en/of de identiteit van de deelnemers), moet je werken met codes, koppelingen en/of toegangspins voor éénmalig gebruik. Denk ook na over de noodzaak om tweefactorauthenticatie te gebruiken. Dit voorkomt dat iemand kan deelnemen door simpelweg de URL of code van de toegangslink te achterhalen.
  • Schakel onnodige functies zoals chatten, het delen van bestanden of het delen van schermen uit.
  • Beperk waar nodig wie het scherm kan delen om ongewenste of onverwachte beelden te voorkomen. Voordat iemand zijn of haar scherm deelt, moet je hem of haar herinneren aan het risico van het delen van gevoelige informatie.
  • Stuur de uitnodiging alléén naar specifieke contactpersonen en bij voorkeur niet naar groepen of mailinglijsten, zodat je controle houdt over de identiteit van de deelnemers.
  • Gebruik een ‘wachtkamer’ om deelnemers toe te laten en start de vergadering pas als de ‘host’ deelneemt.
  • Schakel de meldingsfunctie in wanneer deelnemers in de vergadering komen, bijvoorbeeld door een signaal/geluid of melding van hun naam. Als je provider deze optie niet biedt, vraag als host dan of nieuwe deelnemers zich willen identificeren.
  • Gebruik indien beschikbaar een paneel ter controle van de actieve deelnemers en voor identificatie van de overige deelnemers.
  • Neem de vergadering alléén op als dat nodig is. Informeer in dat geval de deelnemers van tevoren goed over het doel van de opname en wanneer deze start/stopt. Sommige providers doen deze aankondigingen automatisch.
  • Controleer voor de vergadering wat er achter je zichtbaar is en of je persoonlijke informatie onthult. Overweeg een virtuele achtergrond om de ruimte achter je te verbergen.
  • Waarschuw eventuele huisgenoten dat je een vergadering begint en neem de nodige maatregelen om hun activiteit buiten het bereik van de microfoon en camera te houden.
  • Schakel je microfoon en camera uit tijdens de vergadering wanneer dit niet nodig is, vooral als je iets gaat doen buiten de focus van de camera. Let vooral op draadloze microfoons.
  • Houd er rekening mee dat video- en audio-opname kan doorgaan, als gevolg van een menselijke of systeemfout, wanneer je denkt dat de vergadering voorbij is.
  • Wanneer de vergadering is afgelopen, moet je de camera fysiek uitschakelen (tabblad, sticker of iets dergelijks). Verwijder het niet totdat je een nieuwe verbinding opstart.

Online vergaderingen met (zeer) gevoelige gegevens

In die gevallen waarin zeer gevoelige gegevens of informatie worden besproken, is het raadzaam om een IT- en beveiligingsprofessional in je organisatie te raadplegen en, indien nodig, aanvullende voorzorgsmaatregelen te nemen:

  • Gebruik alléén door je organisatie goedgekeurde virtuele vergaderservices voor deze specifieke situaties met end-to-end-encryptie en verschillende codes of wachtwoorden voor elke deelnemer. Geef instructies zodat ze niet worden gedeeld.
  • Gebruik deelnemersdashboards ter controle wie er aan de vergadering deelnemen.
  • Blokkeer de toegang tot de vergadering zodra alle deelnemers zijn geïdentificeerd.
  • Sta alleen hosts toe om hun scherm te delen.
  • Als er opnames worden gemaakt, moeten ze worden versleuteld met een sterk algoritme en sterke wachtwoorden. Verwijder alle opnamen die mogelijk bij de provider zijn opgeslagen.
  • Vraag deelnemers expliciet om alleen apparaten te gebruiken die door de organisatie zijn geleverd en/of goedgekeurd.

Heb je vragen over dit artikel?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Even voorstellen: Frederik

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Frederik Petersen. We stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Frederik: “Binnen Lumen Group vervul ik de functie van Privacy Consultant/ Functionaris Gegevensbescherming (FG). In die rol adviseer ik onze opdrachtgevers op het gebied van privacy wet- en regelgeving. Daarnaast begeleid ik onze opdrachtgevers met het implementeren van privacy wet- en regelgeving: dit gebeurt via het uitvoeren van analyses en opstellen van rapportages. Hierin zit ook het toezicht element op naleving van deze wet- en regelgeving.

Hoe zien jouw werkdagen er ongeveer uit?

Frederik: “De werkdag start met koffie en onze (online) Lumen dagstart, waarin we elkaar op de hoogte houden van ieders werkzaamheden en waar nodig onderling ondersteuning bieden. Gedurende de dag beantwoord ik privacy gerelateerde vragen van onze opdrachtgevers door middel van het geven van praktische oplossingen: daarnaast begeleid ik hen bij implementatie en compliance van privacy wet- en regelgeving, o.a. via monitoringsrapportages waaruit blijkt in welke mate onze klanten ‘privacy compliance’ zijn.”  

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken?

Frederik: “De voornaamste reden om te kiezen voor Lumen Group is de hoge mate van kwaliteit en ‘in house’ expertise, gecombineerd met een heldere en pragmatische aanpak. Daarbij heeft Lumen Group een ambitieuze groeistrategie, waar ik met mijn ruime ervaring in het bedrijfsleven en als zelfstandig privacy consultant graag een bijdrage aan wil leveren.”

Wat zijn jouw 3 opvallendste eigenschappen?

Frederik: “Ik werk resultaatgericht en gestructureerd, met oog voor kwaliteit en een kritische blik op het eindresultaat: waar kunnen we het nog beter doen voor onze opdrachtgevers?”

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

Frederik: “Goede keuzes maak je door ervaring, ervaring krijg je door verkeerde keuzes.”

 

Even voorstellen: Enna

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Enna Lujinović. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Ik ga de rol van een Privacy Consultant vervullen. Uiteraard zal ik op de lange termijn ook de rol van Functionaris Gegevensbescherming (FG)  gaan vervullen. Vanuit de rol als Privacy Consultant/FG zal ik adviseren over de toepassing en de implementatie van de Algemene Verordening Gegevensbescherming (AVG).  Hierbij kijk ik naar wat de wet- en regelgeving vereist en welke praktische toepassing voor de Opdrachtgever het beste is.

Hoe zien jouw werkdagen er ongeveer uit?

Ik begin elke dag met een lekkere kop koffie. Daarna beginnen we bijna meteen met de dagstart. Tijdens de dagstart bespreken we wat er op de planning staat voor die dag. Zo weten we van elkaar wie zich met welke taken bezighoudt. Vervolgens begin ik met het lezen van mijn e-mails en het beantwoorden van klantvragen.

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken?

Ik heb voor Lumen Group gekozen, omdat ik me graag verder wil ontwikkelen als Privacy Consultant/FG. Deze mogelijkheid krijg ik bij Lumen Group doordat je je eigen verantwoordelijkheid moet nemen en ervoor moet zorgen dat de AVG door verschillende bedrijven en organisaties wordt nageleefd. Ook kan ik bij Lumen Group meehelpen aan de groei van de organisatie. Gezien de specialistische kennis van Lumen Group en het belang van privacy- en informatiebeveiliging, draag ik hier graag aan bij.

Wat zijn jouw 3 opvallendste eigenschappen?

Enthousiast, doorzetter en gedisciplineerd.

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

Wees jezelf, er zijn al anderen genoeg.

Benchmarkrapport AVG in het onderwijs 2020

Hoe staat het onderwijs ervoor met de implementatie van de AVG?

De afgelopen tijd heeft Lumen Group, als marktleider in de functie van Functionaris Gegevensbescherming in het onderwijs, vele steekproeven uitgevoerd naar de invoering en naleving van de AVG in de onderwijssector. De steekproeven zijn een onderdeel van de diensten die Lumen Group verzorgt. Dit heeft een uitgebreide set aan betrouwbare data opgeleverd die is gebruikt voor deze benchmark over de stand van zaken rondom de invoering en naleving van de AVG-verplichtingen in de onderwijssector (primair onderwijs, voortgezet onderwijs en de samenwerkingsverbanden passend onderwijs).

Concrete ‘best en poor practices’
Naast de kwantitatieve en kwalitatieve resultaten hebben wij ook ‘best en poor practices’ opgenomen die wij zijn tegengekomen bij onze klanten en waarvan geleerd kan worden. Wij publiceren dit rapport met als doel om waarde toe te voegen aan de gehele sector en om de AVG goed na te leven en de privacy van o.a. leerlingen en leerkrachten te kunnen beschermen.

Voor wie is dit benchmarkrapport?
De uitkomsten van dit rapport zijn interessant voor iedereen in de onderwijssector, van besturen, brancheorganisaties tot beleidsmakers. En voor onze klanten, voor wie dit rapport de mogelijkheid biedt om resultaten van de eigen steekproef-uitkomsten te vergelijken met die uit het veld.

Geïnteresseerd?
Ben je benieuwd hoe het onderwijs ervoor staat met de implementatie van de AVG? Je kunt ons Benchmarkrapport AVG in het onderwijs 2020 aanvragen via onderstaande button.

Aanvragen

Geef jij persoonsgegevens door naar de VS? Let op: het Privacy Shield is ongeldig!

Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Dit heeft aanzienlijke gevolgen als jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten, bijvoorbeeld naar Google of Microsoft. Wat het ongeldig verklaren van het Privacy Shield voor jouw organisatie betekent, leggen wij uit in deze blog.

 

Wat is het Privacy Shield en waarom werd het ongeldig verklaard?

Het Privacy Shield is een overeenkomst tussen de Verenigde Staten en de Europese Unie. Het Privacy Shield was gecreëerd om de privacy van Europese burgers te beschermen wanneer hun persoonsgegevens met Amerikaanse bedrijven werden gedeeld. Amerikaanse bedrijven die zich hebben aangesloten bij het Privacy Shield tonen aan zij dat de rechten en vrijheden van Europese burgers waarborgen. Hierdoor was het doorgeven van gegevens van Europese burgers naar bedrijven gevestigd in de Verenigde Staten toegestaan. Het Europese Hof van Justitie heeft nu geoordeeld dat er geen adequate bescherming aanwezig is, omdat Amerikaanse overheidsinstanties vrijwel onbeperkte toegang hebben tot persoonsgegevens die door Amerikaanse bedrijven worden verwerkt. Om deze reden heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard.

De rechtszaak is een tijd geleden aangespannen door privacy activist Max Schrems. Hij voerde een zaak tegen Facebook Ierland dat gegevens deelde met Facebook California Inc. De zaak had betrekking tot de regelgeving over surveillance die nog geldt in de Verenigde Staten. Deze Amerikaanse wetgeving geeft geen beperking tot strikt noodzakelijke gegevens, zoals is vereist onder de AVG. Ook is er onvoldoende transparantie in wat er met de persoonsgegevens wordt gedaan. Hierdoor kan er ook geen controle plaatsvinden op de juistheid van de verwerkingen van persoonsgegevens én kan een burger niet optreden tegen een inbreuk op haar of zijn privacyrechten.

 

Wat zijn de gevolgen van het ongeldig verklaren?

De uitspraak heeft enorme gevolgen, en waarschijnlijk ook voor jouw organisatie. Er wordt meestal naar het Privacy Shield verwezen in de verwerkersovereenkomsten wanneer er gebruik gemaakt wordt van Amerikaanse leveranciers van diensten of software. Dit is natuurlijk van toepassing op veel clouddiensten, aangezien zij doorgaans in de VS zijn gevestigd. Toen het Privacy Shield nog geldig was, was het doorsturen van gegevens naar de Verenigde Staten nog rechtmatig (indien een organisatie hierbij was aangesloten), maar dit is nu niet meer het geval.

De Standaard Contractbepalingen (SCC) zijn nog wel geldig. Momenteel kunnen deze dus nog worden ingezet wanneer er data naar een land wordt doorgestuurd buiten de Europese Unie. Daarbij moet echter wel worden afgevraagd of dit wél de juiste bescherming biedt. Het land moet namelijk kunnen garanderen dat ze de privacy kunnen waarborgen, en dat is juist bij de Verenigde Staten nu niet het geval. De enige andere mogelijkheden zouden de Binding Corporate Rules (BCR) zijn. Deze zijn echter alleen geschikt voor grote internationale bedrijven en momenteel is er een doorlooptijd van ongeveer 5 jaar (!) voor het goedkeuren door de Autoriteit Persoonsgegevens van de BCRs.

 

En hoe nu verder?

De Verenigde Staten dienen eerst veranderingen aan te brengen in de surveillance wetgeving zodat er een juiste bescherming van persoonsgegevens van toepassing is. Hierdoor is ook de SCC op dit moment geen betrouwbare oplossing aangezien de Verenigde Staten géén juiste bescherming van persoonsgegevens kunnen bieden. Als jouw organisatie wel gebruik maakt van SCCs, dan blijven deze wel geldig, maar het is wel van belang dat er regelmatig gecheckt wordt of de wetgeving van het derde land voldoet aan de privacywetgeving in de EU. In derde landen worden persoonsgegevens mogelijk minder goed beschermd dan in de EU. Deze ‘check’ zal in de praktijk wel een behoorlijke uitdaging zijn.

Tot de tijd dat er een werkbare en praktische oplossing is voor deze situatie, staan organisaties nog voor flinke uitdagingen. Omdat er nog geen praktische oplossingen zijn, raden wij voor nu aan om in ieder geval de volgende stappen te ondernemen:

  • Ga na bij je verwerkers of zijzelf of hun sub-verwerkers persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield.
  • Controleer in het verwerkingsregister bij welke verwerkingen er (mogelijk) persoonsgegevens worden doorgegeven naar de VS. Ook is het verstandig om na te gaan waar de risico’s precies zitten en daarbij te checken of de gegevens op basis van het Privacy Shield worden doorgegeven of via de SCCs.
  • Zorg er in ieder geval voor dat er op dit moment geen nieuwe verwerkersovereenkomsten worden afgesloten waarbij er persoonsgegevens met de VS worden gedeeld op basis van het Privacy Shield. Probeer de data altijd binnen de EU te houden om de bescherming van persoonsgegevens te kunnen waarborgen.

 

Update 10/11/2020:

De European Data Protection Board (hierna: EDPB) heeft op 10 november 2020 voorlopige aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. De EDPB hoopt bedrijven hiermee meer duidelijkheid te bieden. De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven dienen per geval te beoordelen welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

De aanbevelingen die zijn opgesteld door de EDPB kunnen via de links hieronder geraadpleegd worden:

 

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75

Effectief AVG kennis en bewustwording waarborgen tijdens de coronamaatregelen

Juist in tijden van corona is het erg van belang om kennis en bewustwording rondom privacy- en informatiebeveiliging actueel te houden. Waar gewerkt wordt, worden fouten gemaakt. Ook op het gebied van privacy. Zeker nu leraren (deels) op afstand werken en lesgeven, wordt de kans op bijvoorbeeld datalekken vergroot. Vooral omdat ze dit waarschijnlijk ook in de toekomst blijven doen.

Lumen Group heeft daarom in samenwerking met Academy4Learning een online leerlijn (door)ontwikkeld, genaamd ’AVG in het klaslokaal: praktische handvatten voor kennis en bewustwording’. Deze leerlijn bestaat uit een e-learning, met aanvullend een verdiepende opfriscursus. We merken in toenemende mate interesse vanuit PO, VO en MBO voor deze online leerlijn, en met goede redenen!

Waarom kiezen voor onze online leerlijn?

De e-learning is een erg effectief middel om binnen het hele lerarenteam kennis en bewustwording te vergroten. Leraren kunnen overal ter wereld en in hun eigen tijd met de e-learning aan de slag, wat juist nu heel handig is. Op laagdrempelige wijze wordt – op basis van lastige juridische termen – een praktisch denkkader aangereikt omtrent de AVG. Ook kunnen leraren vanuit huis de informatie op hun eigen tempo tot zich nemen en worden daarnaast echt uitgedaagd om meer na te denken over de privacy in het klaslokaal. De opfriscursus biedt verdieping in de onderwerpen over privacy- en informatiebeveiliging in relatie tot de AVG. Dit gebeurt aan de hand van praktijkvoorbeelden en actuele thema’s.

Na het doorlopen van de online leerlijn hebben de deelnemers kennis genomen van een praktisch én toepasbaar denkkader, hebben ze veel praktijkvoorbeelden gezien en zijn ze beter op de hoogte hoe ze om kunnen gaan met persoonsgegevens.

Waaruit bestaat de online leerlijn?

De online leerlijn loopt gedurende een periode van 12 maanden. Leraren starten met het basisdeel van ± 45 minuten, waarbij ze op een praktische manier worden meegenomen in de AVG. Na afronding van deze e-learning ontvangen deelnemers een deelcertificaat, als bewijs dat ze hebben deelgenomen.

Vervolgens wordt er 10 maanden lang iedere maand een nieuw thema beschikbaar gesteld, waarin dieper wordt ingegaan op de materie en actualiteiten. Hierbij komen thema’s als veilig thuiswerken, omgaan met rechten van betrokkenen en wachtwoorden aan bod.  Na de afronding van alle casuïstiek ontvangen deelnemers een certificaat van afronding, wat bijdraagt aan de aantoonbaarheid.

Interessant voor het bestuur: Rapportage van de vorderingen

Het is mogelijk dat de voortgang van de leraren wordt gemonitord aan de hand van een dashboard of (anonieme) rapportage. Zo kan bijvoorbeeld het bestuur op schoolniveau zien wat de vorderingen zijn. Daarbij is zichtbaar op welke vragen er goed gescoord wordt en met welke vragen de deelnemers meer moeite hebben. Dit biedt de mogelijkheid voor het voeren van verdere gesprekken over privacy- en informatiebeveiliging, zodat bewustwording op diverse manieren in de onderwijsorganisatie wordt gebracht. Ook draagt een dashboard of rapportage bij aan de aantoonbaarheid dat de onderwijsorganisatie privacy- en informatiebeveiliging serieus neemt en hierop actie onderneemt.

Meer weten?

Download de Flyer of vraag een demo aan. Voor andere vragen kunt u contact opnemen via info@academy4learning.nl.  Goed om te weten: bestaande klanten van Lumen Group ontvangen 30% korting.

Hoe kan je de NTA 7516 toepassen met het gemak van gewoon e-mailen?

Bij Lumen Group hebben wij de afgelopen tijd gemerkt dat ‘veilig mailen’ een steeds actueler onderwerp is geworden. Mede naar aanleiding van de publicatie van de NTA 7516 krijgen wij in toenemende mate hierover vragen.  Met de publicatie van de NTA 7516 op 15 mei 2019 is er voor het per e-mail versturen van persoonlijke gezondheidsinformatie een veldnorm in het leven geroepen. Dit houdt in dat Iedere professional die persoonlijke gezondheidsinformatie per e-mail wil versturen, gebruik moet maken van een NTA 7516-veilig e-mail product én ook zelf moet voldoen aan de eisen van de NTA 7516.

In de praktijk kan dit tot problemen leiden. Wanneer de ontvanger van jouw e-mails vanwege vertragende beveiligingsmaatregelen moeite moet doen om ze te vinden, te openen en te lezen, dan gaat tot wel 30% van de door jou gestuurde berichten verloren. En dat terwijl de informatie in de e-mails juist zo belangrijk is! Zo schiet gegevensbescherming dus makkelijk z’n doel voorbij. Maar het kan ook anders: veilig mailen met het grootste gemak voor zowel de verzender als de ontvanger.

Wij vroegen Yvonne Hoogendoorn (CEO bij SecuMailer) om wat meer uitleg te geven in deze blog. SecuMailer heeft namelijk als initiatiefnemer voor de NTA 7516 een slimme oplossing voor veilig e-mailen, die zorgt dat zowel de ontvanger als de verzender moeiteloos en veilig kunnen blijven e-mailen.

Yvonne Hoogendoorn van SecuMailer over de NTA 7516 en veilig mailen:

Wie, wat, waar van de NTA 7516

  • Wie: Professionals die e-mails versturen met persoonlijke gezondheidsinformatie.
  • Wat: Digitale veiligheidseisen om privacy en doktersgeheim in e-mails te garanderen.
  • Waar: Gewoon in je mailbox en tijdens het e-mailverkeer.
  • Waarom: Om het lekken van persoonlijke gegevens te voorkomen.
  • Wanneer: Als je een e-mail verstuurt.
  • Hoe: Met de slimme beveiliging van SecuMailer die je niet merkt.

Word jij ook gek van al die ophaalberichten in je mail?

De afgelopen jaren is er in de zorg veel elektronische informatie uitgewisseld in portalen. Dit was nodig omdat e-mail verkeer niet veilig te versturen was. Een logische stap was om ook berichten bedoeld voor patiënten in een portaal te plaatsen. Hier kan zowel de patiënt of een andere zorg professional via een ophaalbericht  naar het portaal klikken en dan met een extra code of wachtwoord het bericht inzien. Hartstikke lastig vaak, en soms zelfs onmogelijk. Denk maar aan mijn berichtenbox van de overheid, dat is ook nooit een fijne ervaring.

Het goede nieuws is: Dit is niet meer nodig.

Door te kiezen voor SecuMailer voorkom je dat de beveiliging van e-mail door de ontvangers als ‘gedoe’ wordt ervaren. Het gebruik van portalen, fileshare servers en/of lokale plug-ins is namelijk niet nodig met SecuMailer. Je krijgt hiermee een oplossing die zoveel mogelijk lijkt op de ‘gewone’ manier van e-mailen, echter met de garantie van versleutelde aflevering.

Veel organisaties kijken nu naar een portaaloplossing voor veilig e-mailen omdat ze dit al vaker hebben gezien. De grote nadelen voor de ontvanger en de grote belasting voor de eigen ICT omgeving zijn echter goede redenen om de moderne oplossing voor veilig e-mailen zonder ophaalberichten en portalen te overwegen.

Maar hoe doe je dat dan met het beroepsgeheim van de (zorg)professional?

De artseneed werd in 1878 ingevoerd in Nederland en sinds dien is het dus al goed gebruik dat medische informatie niet zomaar bij de verkeerde persoon terecht komt. Niets nieuws dus dat ook per e-mail niet zomaar medische gegevens verstuurd kunnen worden. De zorgprofessional moet eerst vaststellen dat de ontvanger recht heeft op de informatie.

De eerste keer dat een patiënt bij een dokter komt moet hij zich inschrijven. Het BSN-nummer wordt vastgelegd, de identiteit wordt gecontroleerd met een officieel identiteitsbewijs en de adresgegevens worden in het medisch dossier gezet. Daarna hoef je bij je huisarts echt niet iedere keer je paspoort te laten zien.

Twee Factor Authenticatie. Maximaal 4 x per jaar

Voor vertrouwelijke e-mails kan het vaststellen van de identiteit van de ontvanger op de volgende manier. De zorg professional (of in ieder geval de organisatie) heeft e-mailadres en telefoonnummer van de ontvanger. De identiteit van de ontvanger kan je dan controleren door een combinatie van een e-mail en een bericht naar de telefoon.

Vanaf dat moment is zorgvuldig aangetoond dat de ontvanger is wie hij zegt te zijn en via het e-mailadres veilig te bereiken is. Alle e-mails kunnen vanaf dan veilig in de mailbox van de ontvanger komen. Na 90 dagen is het weer nodig om opnieuw een combinatie van e-mail en bericht op de telefoon te sturen.

Wettelijk kader

Sinds mei 2020 zijn er nieuwe regels voor veilig e-mailen met persoonlijke gezondheidsinformatie. Die zijn vastgelegd in de NTA 7516 veilig e-mailen in de zorg. Deze regels zijn gebaseerd op de volgende wettelijke kaders:

De AVG:

Privacywetgeving die verplicht tot het nemen van voldoende technische en organisatorische maatregelen om te voorkomen dat vertrouwelijke gegevens in verkeerde handen komen. E-mail moet volgens deze wet versleuteld verstuurd worden.

De WGBO:

Dit is de wet op de geneeskundige behandelovereenkomst. Hierin is het beroepsgeheim van de zorg professional vastgelegd. Omdat deze twee wetten ten grondslag liggen aan de NTA 7516, hoeft de NTA 7516 zelf geen wet te zijn, maar zijn de eisen wel verplicht voor iedereen de een medisch beroepsgeheim heeft. Veel lagere overheden en ministeries gaan ook met de regels van de NTA 7516 werken, omdat zij ook regelmatig persoonlijke gezondheidsinformatie nodig hebben of versturen.

Eisen Forum standaardisatie:

De open standaarden voor veilig digitaal internetverkeer die het forum standaardisatie oplegt aan (semi)overheden zijn ook toegepast in de NTA 7516 eisen. Ook dit is een reden waarom veel gemeenten en ministeries de NTA 7516 norm voor veilig e-mailen willen gaan toepassen.

Meer weten?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Ook kun je direct contact opnemen met Yvonne Hoogendoorn via de website van SecuMailer.

Schoolmusicals in groep 8: Mag een livestream vanuit AVG-perspectief?

Nu de periode van schoolmusicals weer is aangebroken krijgen wij van steeds meer basisscholen de vraag of zij deze mogen livestreamen via een platform zoals Zoom, Youtube, Google Meet of Microsoft Teams. Het is vanwege de coronamaatregelen helaas niet altijd mogelijk om alle ouders in één zaal bij elkaar te laten komen. In deze blog zullen wij ingaan op wat er komt kijken bij het livestreamen van beelden waarop leerlingen te zien zijn.

Mag de schoolmusical gestreamd of opgenomen worden vanuit AVG-perspectief?

Ja dit mag, mits ouders toestemming geven hiervoor. Wanneer scholen de musical live willen streamen, dan verwerken zij beeldmateriaal van leerlingen. Dit geldt ook voor het opnemen van de livestream. De Autoriteit Persoonsgegevens heeft expliciet bepaald dat voor het verwerken van beeldmateriaal van minderjarigen toestemming van de ouders is vereist. Een ouder zal voor het geven van toestemming goed geïnformeerd moeten worden, zodat bekend is waar de toestemming op toeziet, en de ouder zo een weloverwogen keuze kan maken.

Het feit dat de beelden in een ‘besloten’ online omgeving wordt gestreamd, zoals op een besloten Meet- of Teams-sessie, is hierbij niet relevant. Het uitgangspunt blijft dat toestemming nodig is voordat de beelden van een leerling gestreamd worden.

Is een nieuwe toestemming nodig?

Vaak hebben scholen al eerder specifieke toestemming gevraagd en verkregen van ouders voor het maken en publiceren van beeldmateriaal. Opnieuw vragen van toestemming is niet noodzakelijk wanneer het streamen van een musical verenigbaar is met de doelen die scholen hebben gesteld voor het verwerken van beeldmateriaal, en zoals deze zijn gecommuniceerd richting de ouders. Dit kan van toepassing zijn wanneer een van de doelen voor het verwerken van beeldmateriaal het opnemen van de schoolmusical in groep 8 is. Dit is per school verschillend en hangt dus af hoe breed de geformuleerde doelen waren waarvoor ouders al toestemming hebben gegeven.

Redelijke verwachting van privacy bij de ouders

Of een doel verenigbaar is, wordt door de school zelf bepaald door vast te stellen of de nieuwe verwerking (het livestreamen van de musical) onder de redelijke verwachting van privacy van de ouders (of leerling) valt. De wijze waarop de ouder is geïnformeerd bij een eerder gegeven toestemming is hierbij bepalend.

Bij het geven van de toestemming voor het maken van beeldmateriaal, had niemand vooraf verwacht dat het livestreamen van een musical nodig zou zijn door bijvoorbeeld het Coronavirus. Het livestreamen van de musical kan hierdoor een andere context in het kader van beeldverwerking met zich meebrengen dan waar in eerste instantie over is gecommuniceerd richting de ouders. Zo zal bij het opnemen van een musical doorgaans enkel een camera gebruikt worden die de beelden lokaal opslaat, en bij een livestream zullen beelden (tijdelijk) worden opgeslagen op de servers van platformen zoals die van Google of Microsoft. Als een ouder bij het geven van een eerdere toestemming niet goed geïnformeerd is over de verschillende kenmerken van de beeldverwerking, dan kan het streamen van de musical niet vallen onder de redelijke verwachting van privacy van de ouders (of leerling). In dit geval zou de school dus opnieuw moeten vragen om toestemming van de ouders.

Welke passende (technische) maatregelen moet de school treffen?

Wanneer scholen de musicals gaan livestreamen, dan moeten zij volgens de Autoriteit Persoonsgegevens wel goede beschermingsmaatregelen nemen. Navraag bij de AP door Lumen Group leert dat met het laatste wordt bedoeld: het nemen van passende technische en organisatorische maatregelen.

Scholen moeten bijvoorbeeld gebruik maken van unieke uitnodigingslinks die gekoppeld zijn aan een ouder. Ook moeten scholen kiezen voor adequaat technisch beveiligde videodiensten, en zal er een verwerkersovereenkomst afgesloten moeten worden met de leverancier. Scholen moeten ook nadenken over of ze de livestream willen opslaan en hoe lang de beelden bewaard blijven.

Het is van belang om de ouders te vragen om de livestream of opnames die zij zelf hiervan maken, beperkt te houden tot een huishoudelijke kring, en deze niet via bijvoorbeeld social media of in groepschats te delen. Wanneer ouders de beelden wel delen, dan worden ze daarmee zelf verantwoordelijk voor de beelden die ze verspreiden.  

Alternatieve oplossing

Het kan goed zijn dat niet alle ouders toestemming geven voor de livestream. Dit betekent dat de livestream niet door kan gaan, tenzij live-editen een optie is. Hierbij zullen de kinderen waarvan de ouders geen toestemming hebben gegeven voor de livestream, onherkenbaar moeten gemaakt. Een alternatieve oplossing voor de livestream kan zijn om de schoolmusical op meerdere dagen te laten plaatsvinden, om zo de hoeveelheid ouders te verspreiden. Zo krijgen alle ouders van leerlingen de mogelijkheid om haar of zijn kind te zien optreden en hiervan zelf foto’s en films te maken. Ook hierbij is het van belang om de ouders te vragen om de livestream of opnames die zij zelf hiervan maken, beperkt te houden tot een huishoudelijke kring (zie ook hierboven).

Meer weten?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Voor meer informatie over de AVG in het onderwijs verwijzen wij je graag naar onze andere blogs op de website van Lumen Group.