AVG: Europese Algemene verordening Gegevensbescherming

De services van IRP waren al geruime tijd voorbereid op deze nieuwe verordening. Toch voeren we een paar kleine veranderingen door om ten volle tegemoet te komen aan de nieuwe wetgeving.

1. Waar dat nog niet voorzien was, worden alle koppelvlakken van een striktere security voorzien. Dat kan consequenties hebben voor de organisaties waar we gegevens mee uitwisselen. De sercvices van IRP zijn voorbereid om alle koppelvlakken van encryptie te voorzien.  

2. We maken een einde maken aan de mogelijkheden tot het creeeren van nieuwe, onbeveiligde, data-bases op basis van bijvoorbeeld csv- of excel-bestanden. Waar het echt niet anders kan, worden deze bestanden van een goede encryptie voorzien. In al onze applicaties is het mogelijk om (externe) functionarissen (beperkt) toegang te geven, er moet dus een goede reden zijn om toch aparte bestanden aan te leveren. 

3. Belangrijke veranderingen in de wet tenopzichte van de WBP: Meldplicht datalekken. Bij zelfs maar een vermoeden van het verlies van persoonsgegevens wordt dit direct gemeld aan de klant die de melding kan doorzetten naar de Autoriteit Persoonsgegevens. 

4. Recht om vergeten te worden. Iedereen die geregistreerd is in een van onze services kan vragen de persoonsgegevens te verwijderen. Of daaraan gehoor kan worden gegeven, is afhankelijk van de rol van die persoon en wettelijke bepalingen. Als gegevens niet langer bewaard hoeven te worden, worden (ook nu al) de gegevens door schoningsscripten geanonimiseerd. 

Zaken die in al langere tijd in onze services voorzien zijn:
1. Alle personen hebben een inlog waarmee minimaal de eigen gegevens te raadplegen zijn. Op een aantal plekken worden persoonsgegevens van derden nu nog ingevoerd door administrators. Dat gaan we niet verbieden, maar de opgevoerde personen krijgen wel een inlog. Het registreren van een persoonlijk emailadres wordt daarom wel verplicht (waar dat nog niet het geval was). 
2. De beveiliging van al onze applicaties is strikt, het gebruik van een goed wachtwoord wordt afgedwongen en het aantal inlogpogingen is in alle gevallen beperkt. 
3. In veel gevallen vindt hosting plaats bij een ISO27001 gecertificeerde hostingprovider.
4. Veel van one services zijn geaudit door derden, eventuele gebreken zijn en worden direct aangepakt. 
5. Er wordt niet getest met werkelijke persoonsgegevens; tenzij daarvoor expliciet toestemming is gevraagd (en gekregen). 

 

IRP baseert al zijn webdevelopment op de ISO 19650-standaard voor de ontwikkeling en volledige levenscyclus van gebouwen. Voorheen bekend als de BSI 1192-X. Deze standaard is inmiddels bijna volledig in BIMkeeper geïmplementeerd.