54

AVG – Deurplus denkt mee

Per 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking getreden.

Zorginstellingen, wooncorporaties en bedrijven die persoonsgegevens beheren ten behoeve van een digitaal sleutelbeheersysteem hebben te maken met deze nieuwe wetgeving. Als adviseur krijgen we vaak de vraag of hun toegangscontrolesysteem is ingericht conform de nieuwe AVG-wet. Zo ook pas van een zorginstelling. Wij weten hoe u persoonsgegevens uit toegangscontrole moet beheren en we lichten het graag toe.
Deze instelling beheert de gegevens van sleutels, deuren en gebruikers in een database. Van deze gebruikers worden persoonsgegevens zoals adresinformatie opgeslagen. Onze klant wil haar data gaan beheren in de cloud in plaats van op een eigen server. Hiermee verandert er iets fundamenteels. Met persoonsgegevens in de cloud worden deze data beschikbaar voor het ict-bedrijf dat de cloud beheert. Formeel is onze klant volgens de AVG nu verplicht om een verwerkingsovereenkomst af te sluiten met het ict-bedrijf. En met Deurplus omdat wij ook toegang hebben tot de gebruikersinformatie.
Daarnaast is onze klant gecertificeerd volgens de informatiebeveiligingsnorm ISO 27001, die inhoudelijk overeenkomsten vertoont met de AVG. Als het ict-bedrijf en Deurplus toegang hebben tot persoonsgegevens, geldt ook voor ons de verplichting tot certificering. De vraag is:

  • Zou onze klant gebaat zijn bij het feit dat Deurplus of het ict-bedrijf gecertificeerd zijn (even los van het feit of Deurplus dat al zou willen nastreven)?  
  • Of kunnen we toegangscontrole via de cloud anders inrichten zodat de klant voldoet aan de ISO 27001 en AVG-normen?

Hiervoor bespreken we de inrichting van de software en wat zou moeten veranderen. Een randvoorwaarde is dat Deurplus hetzelfde serviceniveau kan blijven bieden. Is toegang tot persoonsgegevens hierbij onmisbaar? We geven klantgericht advies. Ook even sparren? Neem contact op, ook al hebt u (nog) geen toegangscontrole.

313