Vijf dingen om te onthouden voor het digitaal ondertekenen van documenten met gevoelige gegevens

Sensitive data

In dit digitale tijdperk stappen veel bedrijven over van handtekeningen op papier naar digitale handtekeningen. Deze bieden heel wat voordelen en maken het de gebruiker een stuk gemakkelijker. Maar tegelijk rijzen er bij bedrijven die bijzondere categorieën van (persoons)gegevens verwerken, vragen over de veiligheid van de verwerkte persoonsgegevens wanneer documenten digitaal worden ondertekend. Als je bedrijf bijvoorbeeld actief is in de verzekerings-, bank-, overheids- of medische sector, krijg je waarschijnlijk dagelijks te maken met gevoelige gegevens. Om de identiteit van de ondertekenaar en de inhoud van de documenten optimaal te beveiligen, moeten deze documenten kunnen worden ondertekend op een veilige manier, in overeenstemming met de toepasselijke wetgeving.

In deze blogpost gaan we dieper in op de belangrijkste punten waaraan je moet denken wanneer je een oplossing kiest voor het digitaal ondertekenen van documenten met gevoelige gegevens.

 

Enkele voorbeelden

Automatisch verzekeringspolissen genereren, woonleningen digitaal ondertekenen, patiënten digitaal registreren in een ziekenhuis: het zijn allemaal mooie voorbeelden van hoe bedrijven hun papieren werkstromen digitaliseren. Maar in elk voorbeeld worden ook bijzondere categorieën van persoonsgegevens verwerkt.

Wat bedoelen we precies met ‘bijzondere persoonsgegevens’? Als we de Algemene Verordening Gegevensbescherming (AVG) even in close-up bekijken, zien we dat onder andere de volgende categorieën onder ‘bijzondere persoonsgegevens’ vallen:

  • Biometrische gegevens (van toepassing bij gebruik van biometrische ondertekeningsmethoden)
  • Gezondheidsgegevens (medische sector, financiële sector, HR)
  • Genetische gegevens (medische sector, levensverzekeringen)
  • Vakbondslidmaatschap (HR)
  • Politieke opvattingen (politiek, publieke sector)
  • Gegevens over het seksleven of de seksuele geaardheid van een natuurlijke persoon (financiële en medische sector)

Deze categorieën van persoonsgegevens worden als ‘bijzonder’ beschouwd en vereisen extra aandacht bij het verwerken. Niet alleen omdat wij het zeggen, maar ook omdat de wet dit verplicht.

Naast de Europese AVG-verordening hebben sommige landen een eigen wetgeving over het verwerken van bijzondere persoonsgegevens. Dat is onder andere het geval in België en Frankrijk. Als verwerkingsverantwoordelijke moet jij ervoor zorgen dat deze gegevens conform de toepasselijke (gegevensbeschermings)wetten worden verwerkt.

 

Vijf belangrijke punten om aan te denken:

 

Punt 1: Identificeer de ondertekenaar

Het eerste punt waaraan je moet denken, is de persoon (of personen) die toegang krijgt tot de te ondertekenen documenten. Om er zeker van te zijn dat alleen de werkelijke geadresseerde de documenten kan lezen, raden we aan de ondertekenaar aan de andere kant te identificeren. Er zijn verschillende veilige manieren om dit in een online omgeving te doen. Je kunt bijvoorbeeld een nationale identiteitskaart of een identiteitsregeling gebruiken, of een andere identificatieservice (zoals itsme®).

Denk eraan: de ondertekenaar identificeren voordat hij het document kan openen is niet hetzelfde als beID of itsme® gebruiken voor de ondertekening zelf.

 

Punt 2: Opt-inknoppen, toestemmingsbeheer en pop-upvensters over het privacybeleid

Bepaalde soorten bijzondere persoonsgegevens mogen volgens de wet alleen na uitdrukkelijke toestemming van de betrokkene worden verwerkt. Zorg er dus zeker voor dat je de nodige opt-ins implementeert (artikel 9.2 (a) van de AVG). Sommige oplossingen voor digitale ondertekening bieden tools voor toestemmingsbeheer. Deze functies geven jou als verwerkingsverantwoordelijke de mogelijkheid om waar nodig de toestemming van de ondertekenaar te krijgen.

Wees bovendien transparant over je verwerkingsactiviteiten en informeer de betrokkene hier duidelijk over. Er zijn verschillende manieren om dit te doen, maar het kan helpen als je een oplossing kiest die de optie biedt om je privacybeleid te tonen voordat de betrokkene een document ondertekent.

 

Punt 3: Bewaartermijnen voor gegevens

Denk ook aan de bewaartermijn (hoelang je persoonsgegevens bewaart) bij het verwerken van bijzondere persoonsgegevens. Als je gebruikers hun documenten elektronisch ondertekenen, is het belangrijk dat je rekening houdt met de bewaartermijn van de ondertekende documenten en met waar ze achteraf worden gearchiveerd.

Dat kan bijvoorbeeld een cloudomgeving of een locatie ‘on premises’ zijn – en zoals je al kon raden, bepaalt die opslaglocatie voor een groot deel welke acties je moet ondernemen. Cloudoplossingen bewaren ondertekende documenten in de cloud. Sommige systemen bieden API-integraties die het mogelijk maken om de ondertekeningssoftware te koppelen aan je documentbeheersysteem (DMS) of andere relevante softwarepakketten. Wat gegevensbescherming betreft, vinden wij de tweede optie (API-integratie) het interessantst: hiermee kun je ondertekende documenten in je eigen systemen opslaan nadat het ondertekeningsproces voltooid is. Zorg er wel voor dat de API-integratie zo geconfigureerd is dat ondertekende documenten automatisch van de servers van je provider worden verwijderd zodra het ondertekeningsproces afgerond is.

Als je een ‘on premises’ omgeving (of speciale hosting) kiest, heb jij als enige de controle over de bewaartermijn van gegevens. Dat kan interessant zijn in bepaalde specifieke bedrijfssituaties.

 

Punt 4: Encryptie

Encryptie is een van de veiligheidsmaatregelen die de AVG aanhaalt als gepaste manier om de beveiliging van persoonsgegevens te garanderen (artikel 32). Dit betekent dat de informatie die je verzendt, zo wordt gecodeerd dat alleen geautoriseerde partijen deze kunnen lezen. Wie niet geautoriseerd is, heeft dus geen toegang tot je gegevens. Om ervoor te zorgen dat alleen geautoriseerde personen tijdens het volledige proces toegang hebben, moet je zowel ‘data at rest’ als ‘data in transit’ versleutelen.

Met andere woorden: als je een digitale ondertekeningsoplossing met encryptie kiest, verzeker je dat de inhoud van het document vertrouwelijk blijft.

 

Punt 5: Cloudservices en hostingproviders

Als je een cloudoplossing kiest om je documenten digitaal te ondertekenen, denk dan goed na over de hostingprovider die je hostingservices levert. Dit om twee redenen:

  1. Voldoende beveiligingsmaatregelen

Bij het verwerken van bijzondere persoonsgegevens moeten de technische en organisatorische maatregelen die je neemt, afgestemd zijn op je verwerkingsactiviteiten. Voor de verwerking van gevoelige gegevens heb je dus mogelijk bijkomende veiligheidsmaatregelen nodig (artikel 32 AVG). Voor deze maatregelen vertrouw je niet alleen op je softwareprovider, maar ook op je hostingprovider. Gebruik een cloudoplossing die conform (of zelfs beter dan) de marktstandaarden is wanneer je bijzondere persoonsgegevens in te ondertekenen documenten moet verwerken, en voer indien nodig een DPIA (Data Protection Impact Assessment) uit.

  1. Nationale wetgeving

Sommige landen hebben eigen wetten voor de verwerking van bepaalde soorten persoonsgegevens, zoals gegevens over gezondheid. Dat is bijvoorbeeld zo in Frankrijk: dit land heeft de verwerking van gezondheidsgegevens streng gereguleerd door hostingproviders te verplichten om een certificering als Health Data Hosting (HDS)-provider te behalen.

Kort gezegd: als je documenten met bijzondere persoonsgegevens digitaal wilt ondertekenen, moet je met verschillende punten rekening houden. Benieuwd hoe Connective voldoende beveiligingsmaatregelen voorziet? Lees dan zeker verder!

 

Identificatie van de ondertekenaar
Identificatieservices Identificeer de ondertekenaar voordat je toegang geeft tot documenten door onze Identity Hub in je eSignatures-omgeving te integreren.
Ingebouwde gegevensbescherming
Opt-inknopImplementeer opt-inknoppen om de nodige toestemming te verkrijgen
ToestemmingsbeheerConfigureer je eigen beleid voor toestemmingsbeheer
Privacybeleid Verwerk jouw eigen privacybeleid in het ondertekeningsproces
Bewaartermijn
API-integratieConfigureer je API volgens jouw voorkeuren om ondertekende documenten veilig in je interne systemen te bewaren
Automatische verwijderingInstalleer de module voor automatische verwijdering zodat documenten na ondertekening niet worden bewaard
Encryptie
EncryptieDocumenten (en de gegevens erin) worden zowel 'at rest' als 'in transit' versleuteld
Cloudservices en hostingproviders
HostingGehost op Microsoft Azure met tal van technische en organisatorische maatregelen (ISO 27001-gecertificeerd) om de juiste beveiliging te garanderen. Meer informatie via het Microsoft Trust Center
HDS-certificatieMicrosoft Azure is HDS-gecertificeerd
On-premisesOn-premises installaties mogelijk

 

Onze interne maatregelen om persoonsgegevens veilig te verwerken

  • Connective geeft alleen geautoriseerd personeel toegang tot de productieomgevingen van onze klant, en dit op een strikte ‘need to know’-basis. De geautoriseerde personeelsleden krijgen slechts beperkte toegang voor specifieke doeleinden (zoals ondersteuning) en zijn uitvoerig opgeleid over gegevensbescherming en vertrouwelijkheid.
  • Als Trust Service Provider is Connective door LSTI gecertificeerd onder ETSI.
  • Connective houdt een register bij dat expliciet verband houdt met de verwerking van medische gezondheidsgegevens en strafrechtelijke gegevens, zoals vereist door de Belgische wetgeving.
  • Connective implementeert uitgebreide technische en organisatorische maatregelen, zoals uitgelegd in onze Verklaring over technische en organisatorische maatregelen.

Met al deze informatie in het achterhoofd is het duidelijk: wij begrijpen dat projecten met bijzondere persoonsgegevens extra aandacht vereisen. Wil je bespreken hoe onze oplossingen voor jouw specifieke project kunnen worden geïmplementeerd? Ons volledige team, inclusief de Data Protection-afdeling, staat voor je klaar.

 

Vragen over databescherming? Aarzel dan niet om contact op te nemen met onze Data Protection Officer.