AVG: hoe en wat?

19 januari 2018leestijd 10 minutendoor Monique

Wat verstaat de wet onder persoonsgegevens?

Eigenlijk alle gegevens die informatie bevatten over een persoon, waardoor je die persoon daadwerkelijk zou kunnen identificeren. Denk hierbij aan IP-adres, e-mailadres, NAW-gegevens en geboortedatum, maar ook als het geslacht bekend is maakt het dat je in combinatie met bijvoorbeeld een IP-adres en postcode een persoon kunt identificeren. Je ziet het al: je verzamelt onbewust meer persoonsgegevens dan je denkt!

Checklist: wat moet je doen?

Als je nog geen actie hebt ondernomen dan wordt het nu echt tijd om te inventariseren hoe je organisatie privacygewijs ervoor staat, want 25 mei komt steeds dichterbij... Omdat we van klanten veel vragen krijgen over de AVG hebben we hieronder een checklist uitgewerkt, maar let op: dit is slechts ter informatie en om je bewust te maken van de impact, je bent als organisatie zelf verantwoordelijk voor de correcte implementatie van de AVG. 

1. Breng in kaart hoe jouw organisatie persoonsgegevens verwerkt én of hier toestemming voor is verleend

Je moet als organisatie kunnen aantonen dat je je aan de privacywetgeving houdt. Daarom is het meestal verplicht om een ‘verwerkingsregister’ bij te houden. Hierin moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is. Ook moet je hierbij kunnen aantonen dat je die persoonsgegevens met een 'rechtmatige grondslag' verwerkt, met andere woorden, dat je de gegevens daadwerkelijk nodig hebt en geen overbodige gegevens verwerkt. Bijvoorbeeld: een e-mailadres heb je nodig om nieuwsbrieven te kunnen versturen. Uiteraard alleen als je hier toestemming voor hebt (middels opt-in) en als mensen de mogelijkheid hebben om zich weer uit te schrijven (middels opt-out). Niet alleen moet je kunnen aantonen dat je toestemming hebt gekregen voor verwerking van de gegevens, maar ook wanneer, van wie, waarvoor en de manier waarop. 

2. Controleer of er binnen jouw organisatie een Functionaris voor de Gegevensbescherming (FG) nodig is

Verwerkt jouw organisatie op grote schaal gegevens of gevoelige persoonsgegevens (zoals ras, godsdienst of gezondheid)? Dan moet er waarschijnlijk een Functionaris voor de Gegevensbescherming (FG) aangewezen worden. Hij of zij creëert bewustzijn rondom de AVG binnen jouw organisatie, wijst collega's op de aandachtspunten en zorgt er indien nodig voor dat er een Data Privacy Impact Assesment (DPIA) uitgevoerd wordt.

Frontis heeft in samenwerking met i3-groep een Privacy Impact Analyse (PIA) uitgevoerd om te kijken welke maatregelen wij als organisatie moesten treffen om de risico's te verkleinen. Zowel een Data Privacy Impact Assesment als een Functionaris voor de Gegevensbescherming is voor Frontis geen noodzaak. Maar, omdat de AVG binnen Frontis wel de nodige aandacht heeft, hebben we wel zelf iemand benoemd als verantwoordelijke hieromtrent. 

3. Implementeer Privacy by design en Privacy by default

Binnen de AVG zijn er twee nieuwe wettelijke verplichtingen waarbij deze zogenoemde dataminimalisatie een belangrijke rol speelt: Privacy by design en Privacy by default:

Privacy by design: je zorgt er bij het ontwerpen van producten en diensten (bijvoorbeeld een website) al voor dat persoonsgegevens goed worden beschermd en dat je niet meer gegevens verzameld dan nodig en ook niet langer dan nodig. Zo heeft Kentico hier in hun upgrade naar versie 11 al volledig rekening mee gehouden (Kentico heeft hier een hele blogreeks over geschreven)

Privacy by default: je neemt technische/organisatorische maatregelen waarmee je ervoor zorgt dat je standaard alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat je wilt bereiken. Bijvoorbeeld via een app die je aanbiedt niet standaard de locatie van een gebruiker registreren als je er toch niets mee doet. 

4. Stel verwerkersovereenkomsten op met dienstverleners die namens jou persoonsgegevens verwerken

Dit is onder de huidige wetgeving (WBP) al verplicht voor zowel de verwerkings verantwoordelijke als de verwerker, maar met de AVG komen hier een aantal onderdelen bij. Eerst even dit:

De verwerkings verantwoordelijke is een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dat betekent dat klanten die hun website door ons hebben laten ontwikkelen, de verwerkings verantwoordelijke zijn, omdat zij als het ware eigenaar zijn van de data. 

De verwerker: dit zijn partijen die in opdracht van de verwerkings verantwoordelijke persoonsgegevens verwerken. Als je bijvoorbeeld de salarisadministratie uitbesteedt, is de payroll organisatie verwerker van deze gegevens. Verder hebben ook online marketing tools zoals Google Analytics de rol 'verwerker' omdat hierin alle gegevens omtrent websitebezoeken worden verwerkt. 

In de verwerkersovereenkomst leg je onder andere vast met welk doel je persoonsgegevens verwerkt, welke veiligheidsmaatregelen er getroffen moeten worden, waar de gegevens worden opgeslagen en of de verwerker subverwerkers mag inschakelen voor de verwerking.

Ook een belangrijk item hierin is datalekken. Signaleert de verwerker een datalek? Dan moet hij dit melden bij de verwerkings verantwoordelijke. Laatstgenoemde is vanaf 25 mei verplicht om dit datalek te melden bij de Autoriteit Persoonsgegevens. In de verwerkersovereenkomst maak je hier verdere afspraken over, bijvoorbeeld de termijn waarbinnen incidenten moeten worden gemeld en bij beëindiging van de overeenkomst, of gegevens dan vernietigd of teruggegeven moeten worden. 

5. Neem maatregelen voor de rechten van betrokkenen

Met de AVG hebben individuen meer controle over hun gegevens. Naast bestaande rechten als recht op inzage en recht op correctie en verwijdering komt daar bijvoorbeeld het recht om vergeten te worden of het recht op dataportabiliteit bij. Stel dus procedures op (bijvoorbeeld een online formulier) en neem technische maatregelen om verzoeken van betrokkenen op te kunnen vangen.

6. Zorg voor een databeveiligingsbeleid en handel daarnaar

Databeveiliging is een hot item, ook bij Frontis besteden we hier continu aandacht aan. Het belangrijkste in deze is dat iedereen binnen je organisatie zich bewust is van de risico's en persoonlijke verantwoordelijkheden. Maak dan ook een beleid dat relevant is voor jouw organisatie en zorg dat dit beleid onder de aandacht blijft. Denk hierbij aan: 

  • Sterke wachtwoorden voor alle systemen, genereer ze desnoods via een online tool.
  • Het vernietigen van papieren klanten- en/of personeelsdossiers, bijvoorbeeld via een papierversnipperaar. 
  • Geen persoonsgegevens opslaan op lokale harde schijven. Zorg ervoor dat medewerkers bestanden met persoonsgegevens (of kopieën daarvan) na afloop van een project verwijderen van lokale apparatuur en externe gegevensdragers, zoals USB-sticks.
  • Versleutel online gegevensverbindingen met een SSL-certificaat.
  • Als medewerkers software kunnen downloaden en installeren op bedrijfsapparatuur, zorg er dan voor dat ze dat niet kunnen doen op apparaten die toegang hebben tot persoonsgegevens.
  • Creëer een afzonderlijk draadloos gastennetwerk, beveilig dat met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie en scherm dat af van andere apparaten in je netwerk en/of het hoofdnetwerk van de router.
  • Fysieke toegangscontrole: kunnen bezoekers van je kantoor makkelijk toegang krijgen tot fysieke data of de interne server waar persoonsgegevens zijn opgeslagen?

Hou elkaar ook scherp! Binnen Frontis worden al plannen gesmeed voor gepaste 'straffen' indien het beleid intern niet goed nageleefd wordt...

7. Stel een protocol op voor Meldplicht Datalekken

De Meldplicht Datalekken is in Nederland sinds 1 januari 2016 van kracht, en dit blijft ook zo na 25 mei. Maar, onder de AVG moet elk datalek worden gedocumenteerd, zodat de toezichthouder (Autoriteit Persoonsgegevens) kan controleren of aan de meldplicht is voldaan. Hoe goed je ook alle risico's probeert in te perken, een datalek kan altijd ontstaan. Daarom is het goed om een protocol, een soort crisiscommunicatieplan paraat te hebben. Lees hier 7 tips om een datalek te voorkomen.

Tot slot: zie het als iets positiefs

In eerste instantie zul je denken 'Wat een gedoe' en 'Help: waar moet ik beginnen'! En dat begrijpen we. Het kost ook echt wel tijd om de zaken op orde te krijgen, dat weten we inmiddels uit eigen ervaring. Maar zie het ook als een kans om processen intern te verbeteren, klantenbestanden op te schonen en nieuwe technologieën te omarmen. Daarmee ben je niet alleen klaar voor de AVG, maar ook voor de toekomst! Niets doen is geen optie.

Handige links over AVG

Wil je meer lezen over de AVG? Ik heb een aantal handige links voor je verzameld:

Bovenstaande bronnen zijn ook geraadpleegd voor dit blogartikel. 

MoniqueProjectmanager/Marcom
Dit soort updates, nieuws, kennis & innovaties automatisch in je mailbox?

Hoi, ik ben
en ik ontvang jullie nieuwsbrief met updates graag op