Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Wat houdt deze nieuwe wetgeving in en wat betekent het voor jouw organisatie? Op 28 november organiseerde Yard Internet een kennissessie over dit onderwerp. Leonie Gerding, privacy expert bij Verdonck, Klooster & Associates deelde haar kennis met ons. In deze blog vind je achtergrondinformatie en praktische tips, zodat jij er op 25 mei klaar voor bent!
Wat is de AVG precies?
In deze nieuwe Europese verorderingswet staat dat bedrijven en overheden moeten bijhouden welke (persoons)gegevens ze verzamelen, waarom en hoe lang ze deze gegevens bewaren. Bij het niet naleven van deze regelgeving kan de Autoriteit Persoonsgegevens hoge boetes opleggen. De NOS heeft een animatie gemaakt waarin wordt uitgelegd wat de AVG precies inhoudt.
De AVG en de impact op organisaties
Als organisatie ben je dus verplicht om inzage te geven welke gegevens je hebt verzameld van de betrokken persoon. Deze persoon heeft ook het recht om ‘vergeten’ te worden door jouw organisatie. In feite krijgt de betrokkene dus de controle over zijn eigen gegevens terug. Dit vraagt nogal wat van een organisatie. Zo moet je een register aanleggen waarin verwerkingen van persoonsgegevens staan geregistreerd en moet je duidelijke processen inrichten omtrent datalekken.
Welke to do’s moeten op je lijstje?
Met het inregelen van die twee punten ben je er nog niet. Met deze handige todolist word je in acht stappen op weg geholpen.
Stap 1: Inzicht in verwerkingen en grondslagen.
Tijdens deze stap werk je aan een register, waarin de verwerking van gegevens wordt opgeslagen. Er zijn diverse tools (bijvoorbeeld Privacy Perfect) die je hierbij kunnen ondersteunen, maar ook Excel kan prima werken. In het verwerkingsregister staat:
- Wie verantwoordelijk is voor de data; naam en contactgegevens
- De doeleinden waarvoor de data wordt gebruikt
- Categorieën van gegevens die worden verzameld (bijvoorbeeld: NAW-gegevens, betaalgegevens etc.)
- De categorieën betrokkenen (bijvoorbeeld: klanten, webbezoekers, etc)
- Ontvangers van de data (aan wie worden deze gegevens verstrekt)
- Bewaartermijn
- Manieren van beveiliging
Stap 2: Inrichting privacy organisatie
De tweede stap is het inrichten van de privacy organisatie en het aanstellen van een functionaris voor de gegevensbescherming (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen.
Ook organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen zijn verplicht een FG aan te stellen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables.
Op de website van de Autoriteit Persoonsgegevens vind je uitgebreide informatie over het aanstellen van een functionaris voor de gegevensbescherming.
Stap 3: Verantwoordelijke en verwerker
Welke rol vervul je bij het vastleggen van gegevens, ben je de verantwoordelijke of verwerker? De verantwoordelijke stelt het doel van het vastleggen van persoonsgegevens vast en bepaalt de middelen. De verwerker, verwerkt, ten behoeve van de verantwoordelijke de gegevens. Afspraken tussen verantwoordelijke en verwerker worden vastgelegd in een verwerkersovereenkomst.
Stap 4: Data protection impact assessment (DPIA)
Als organisatie ben je verplicht een DPIA uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. zodat je vervolgens maatregelen kunt nemen om de risico’s te verkleinen.
Stap 5: Beveiliging
Ook op het gebied van beveiliging moet je als organisatie stappen zetten. Met de verwerker maak je afspraken omtrent passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Stap 6: Privacy by design
Dit houdt in dat je bij het ontwerpen van producten en diensten er voor zorgt dat persoonsgegevens goed worden beschermd. In deze fase bedenk je ook welke gegevens je echt nodig hebt, zodat je niet meer verzameld dan noodzakelijk.
Stap 7: Rechten van betrokkenen
Nieuw in deze wetgeving is dat mensen meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Op hoofdlijnen zijn er drie rechten te benoemen:
- Wanneer je persoonsgegevens verwerkt, moet je toestemming vragen van de betrokkene. Dit leg je vast in het verwerkingsregister die we bespraken bij stap 1.
- Mensen hebben het recht om een organisatie te vragen hun persoonsgegevens te verwijderen.
- En betrokkenen hebben (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Zo kunnen zij hun gegevens eenvoudig doorgeven aan een andere leverancier van dezelfde soort dienst.
Stap 8: Privacy cultuur
Privacy is een thema dat niet alleen door de functionaris voor de gegevensbescherming wordt gedragen. Deze persoon bevordert binnen de organisatie een cultuur van gegevensbescherming te bevorderen.
Aan de slag
Er liggen grote uitdagingen voor organisaties op het gebied van de AVG. Start daarom vandaag nog met jouw plan van aanpak. Verdonck, Klooster & Associates helpt je verder op weg. Luister hun podcasts over privacy of volg hun drieweekse programma en zorg ervoor dat jij inspeelt op de veranderingen.
Wat Yard Digital doet op dit thema
Bij veel online websites, communities en tools die wij in opdracht maken, vragen we naar (persoons)gegevens. Privacy en beveiliging nemen wij dan ook zeer serieus. Yard Digital geeft voorlichting en adviseert opdrachtgevers over dit onderwerp. De kennissessie die we op 28 november organiseerden is hiervan een voorbeeld. Ook scherpen wij continu onze interne processen aan om risico’s van dataverlies te minimaliseren.
Op juridisch vlak stellen we per klant een verwerkersovereenkomst op. Hierin staan afspraken vastgelegd tussen de verantwoordelijke (onze opdrachtgever) en Yard Digital. Op technisch gebied zorgen we voor up to date software en screenen we de producten die we maken en onderhouden op beveiligingsrisico’s. Dit doen we aan de hand van de owasp lijst bestaande uit de meest kritische beveiligingsrisico’s.
En nog een paar leestips die we graag met je delen:
- Komt een vrouw bij de h@cker. Door: Maria Genova
- Je hebt wel iets te verbergen. Door: Maurits Martijn en Dimitri Tokmetzis (de Correspondent)
- Privacy by design. Door: Verdonck, Klooster & Associates.