De AVG komt er aan. Wat betekent dat voor jou?
Eind 2015 is de nieuwe Europese wet omtrent de bescherming van persoonsgegevens aangenomen door het Europees Parlement. Deze nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG) ofwel ‘General Data Protection Regulation (GDPR)’ zal vanaf 25 mei 2018 formeel van kracht worden. Veel van de principes in de nieuwe wetgeving zijn vergelijkbaar met die van de bestaande ‘Wet bescherming persoonsgegevens (Wbp)’, dus als je daar al aan voldoet zul je waarschijnlijk jouw huidige beleid voor een groot deel kunnen overnemen voor de nieuwe situatie. Er zijn echter wel nieuwe onderdelen en aanscherpingen, waardoor je vermoedelijk bepaalde zaken anders moet gaan doen of nieuw in moet gaan richten.
De AVG legt meer nadruk op het verzamelen en documenteren van persoonsgegevens en het kunnen afleggen van verantwoording hierover. In dit artikel benoemen wij een aantal stappen die je kunt doorlopen om je ervan te verzekeren dat je jouw beleid en procedures op orde hebt. Voor sommige organisaties zal de impact groter zijn dan voor andere, dus kijk kritisch naar waar jouw business het meest wordt geraakt.
Inventariseer en classificeer jouw persoonsgegevens
De impact van de GDPR op jouw organisatie is voor een groot deel afhankelijk van het soort data dat je verzamelt van jouw gebruikers, klanten en eigen personeel. Elk type (persoonlijke) informatie vraagt om een specifieke aanpak bij het verzamelen, opslaan, beveiligen, beheren en verwijderen ervan.
Kijk goed welke persoonsinformatie je opslaat en vraag jezelf goed af of dat daadwerkelijk nodig is voor jouw bedrijfsvoering. Hou deze informatie bij in een zogenaamd verwerkingsregister. Als je mogelijk persoonsgegevens verzamelt van minderjarigen, dien je ervoor te zorgen dat je dat weet en dat expliciete toestemming van ouders of voogden vereist kan zijn. Als je werkt met extra gevoelige informatie (bijzondere persoonsgegevens), zoals gegevens over ras, godsdienst of gezondheid, dien je hier extra bewust van te zijn en strenge beveiligingsmaatregelen te nemen (als je die nog niet hebt genomen). In dergelijke gevallen (als de privacy risico’s hoog zijn) ben je verplicht een Privacy Impact Assessment (PIA) uit te voeren.
Als je persoonsgegevens hebt waar derden toegang toe hebben of die je exporteert naar een derde partij, dien je dit te beschrijven in jouw verwerkingsregister. De data die je deelt met derden dien je vast te leggen in een verwerkersovereenkomst, waarin je ook aangeeft wat de reden is waarom deze gedeeld worden. Als SQR.NL het beheer voert over jouw systemen en je werkt met persoonsgegevens op die systemen, is het met klem aan te raden om dit te inventariseren en vast te leggen in een verwerkersovereenkomst die je met SQR.NL afsluit.
Jouw privacybeleid en de manier waarop je omgaat met gegevens dient te allen tijde transparant te zijn en gemeld te worden aan iedereen waar je gegevens over verzamelt.
Creëer bewustzijn binnen jouw organisatie
De AVG raakt niet alleen jouw IT-afdeling. Het is van belang dat iedereen binnen jouw organisatie zich bewust is van de gegevens die zij onder ogen krijgen en waar zij mee werken. Onafhankelijk van iemands functie krijgt men weleens te maken met persoonlijke informatie. Het creëren van bewustzijn hiervan en de veranderingen die de AVG veroorzaakt, dienen door te dringen bij alle afdelingen en functies binnen jouw organisatie. Zorg niet eenmalig voor bewustzijn bij indiensttreding van een nieuwe collega, maar denk ook aan regelmatige herhaling en het aanbieden van trainingen en cursussen.
Evalueer technieken en processen
Het opslaan en bewaren van gegevens betreft zowel technische systemen als het beleid en de bedrijfsprocessen die erdoor geraakt worden. Er zijn een aantal zaken die je moet inrichten:
Opslag, beveiliging en encryptie
Je moet een veilige en betrouwbare plek kiezen om de data van jouw klanten op te slaan. Van de data dien je een back-up in te richten of een andere manier om gegevensverlies of beschadiging te voorkomen. Veilige opslag van persoonsgegevens vraagt eigenlijk altijd om versleutelde opslag en toegang daartoe. De wijze waarop je dat inricht kunt je in principe zelf kiezen, maar je dient wel te zorgen voor maatregelen die passen bij het type persoonsgegevens. Een van de voorzorgsmaatregelen is het versleutelen van ingevoerde gegevens op jouw website bij een contact- of inschrijfformulier voor een nieuwsbrief. Dit regel je met het installeren van een SSL-certificaat.
Omgang met datalekken
Ondanks dat je dit uiteraard probeert te voorkomen, dien je wel voorbereid te zijn op hoe te handelen in het geval van een datalek. Je bent wettelijk verplicht datalekken te registreren en te melden, zowel aan de betrokken partij van wie gegevens zijn ontvreemd als aan de ‘Autoriteit Persoonsgegevens’. Stel hier dus een beleid voor op en richt de bijbehorende procedures in.
Koppelen en verwijderen van data
Alle persoonsgegevens die je verzamelt en koppelt aan jouw klanten dien je te beschrijven en te classificeren. Dit beleid moet transparant zijn voor de betreffende gebruikers zodat deze weet welke gegevens je van hem of haar bijhoudt. Daarnaast geldt het zogenaamde ‘recht op vergetelheid (right to be forgotten)’. Als iemand daarom vraagt moet je in bepaalde gevallen in staat zijn om persoonlijke gegevens te verwijderen. Gegevens die je wettelijk verplicht bent te bewaren (bijvoorbeeld voor jouw boekhouding) vormen hierop onder andere een uitzondering. Leg altijd de bewaartermijnen vast in jouw beleid.
Actueel houden van gedeelde gegevens met derden
Verzamel je data die je ook deelt met derden? Zoals gezegd hoeft dat op zichzelf geen probleem te zijn, maar je dient daar zeer bewust mee om te gaan. Je dient ervoor te zorgen dat niet alleen jouw eigen gegevens up-to-date blijven, maar dat je wijzigingen ook doorgeeft aan deze derde partijen.
Privacy by design
Zorg ervoor dat je bij alles wat je inricht het principe ‘privacy by design’ nastreeft. Bij elk systeem of proces dat je ontwerpt en implementeert behoort bescherming van persoonsgegevens een integraal onderdeel te vormen.
Opvragen en overdragen van persoonsgegevens
Onder de AVG geldt ook dat individuen hun digitale persoonsgegevens moeten kunnen opvragen en dat dit gebeurt op een zodanige manier dat zij overdraagbaar zijn aan een andere organisatie (dataportabiliteit). Gegevens moeten dus in een gestructureerd, veelgebruikt en machineleesbaar formaat verstrekt kunnen worden.
Wijs een beveiligingsverantwoordelijke aan
Voor organisaties met 250 of meer medewerkers is het aanwijzen van een ‘Data Protection Officer’ verplicht. Maar ook voor kleinere organisaties is het aan te raden om iemand formeel verantwoordelijk te maken voor naleving en compliance. Het is bijzonder verstandig dat er minimaal één persoon is die op de hoogte is van de regelgeving en het nieuws en de ontwikkelingen hierin blijft volgen. Deze medewerker zal voldoende kennis en technische expertise moeten hebben; niet per definitie om alles zelf uit te voeren, maar wel om de kwaliteit en naleving van de genomen maatregelen goed te kunnen beoordelen.
Review en verfijn
De voorbereidingen en maatregelen die je neemt voor de AVG zijn uiteraard belangrijk, maar ook slechts een begin. Zijn deze maatregelen namelijk genomen, dan vormen zij ook daarmee de mogelijkheid tot een doorlopende evaluatie en verbetering van jouw bedrijfsprocessen die betrekking hebben op data en governance. Zorg daarom voor een periodieke review van het beleid en de implementatie en maak aanpassingen waar dat gewenst is.
Business to business en de AVG
Officieel is de AVG niet van toepassing op rechtspersonen (business to business). Echter, zodra de gegevens die je bijhoudt iets zeggen over een identificeerbaar individu, zijn het alsnog persoonsgegevens en vallen deze binnen de scope van de AVG. Als je zakelijke e-mailadressen of telefoonnummers registreert die aan een specifieke persoon zijn gekoppeld (niet een afdeling) vallen deze wel onder de regelgeving, evenals bijvoorbeeld omzetcijfers van een VOF of ZZP’er.
Meer weten?
SRQ.NL is ISO 27001, ISO 20000 en NEN 7510 gecertificeerd en heeft daardoor een aantoonbaar, professioneel beveiligingsbeleid en servicemanagementbeleid en maatregelen om dit te waarborgen. Voor de invoering van de AVG nemen ook wij aanvullende maatregelen om aan de extra eisen te voldoen die dit met zich meebrengt.
Wil je jouw organisatie ook AVG-ready maken? Ons zusterbedrijf Cyso kan jou eveneens adviseren bij het realiseren van je eigen AVG compliancy. Zij kunnen adviseren en ondersteunen bij classificatie van jouw data en het nemen van passende, extra beveiligingsmaatregelen. Neem contact op met een van hun accountmanagers om jouw situatie te bespreken.