Aan de slag met de AVG

Met minder dan 4 maanden te gaan is de AVG, Algemene Verordening Gegevensbescherming (of GDPR), effectief in werking. Alle organisaties in de EU dienen dan te voldoen aan deze nieuwe wetgeving. Voor de meeste organisaties is er nog veel werk te verzetten om hieraan te voldoen. De wijzigingen die gepaard gaan met de overgang naar de AVG  bieden niet alleen uitdagingen maar ook  kansen om de informatiehuishouding / beveiliging op orde te krijgen. 

 

Hoe gaat u in deze korte periode aan de slag om de AVG te implementeren in uw processen, uw systemen en hoe informeert u uw medewerkers, uw leveranciers en uw klanten zodanig dat zij zich bewust zijn van de nieuwe regels? Wij maken samen met u de concrete stap van het  “wat” naar het “hoe”.

De specialisten van Evate helpen u te voldoen aan deze en andere privacywet- en -regelgeving en begeleidt  u met een eenvoudig en helder stappenplan  bij de implementatie. Wij maken de privacyrisico’s van uw ICT systemen inzichtelijk en helpen u met de afspraken die u met zowel uw klanten als met uw leveranciers moet maken.

Wat houdt de AVG in? Bekijk hier de beschrijving en factsheet op de website van de overheid.

Hoe pakt u de implementatie van de AVG aan?

Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen. Bewustwording binnen uw organisatie is essentieel in het stappenplan. De belangrijkste schakel in de informatiebeveiliging is en blijft de mens.

 

1. Benoem rollen en verantwoordelijkheden


U dient te bepalen wie uw toezichthouder is. Voor de meeste organisaties in Nederland zal dit vrijwel altijd de Autoriteit Persoonsgegevens (AP) zijn, maar als u internationaal actief bent in verschillende landen dan kan dit verschillen. Denk hierbij aan de vestigingslocatie van het hoofdkantoor of de plek waar grootschalige verwerking van persoonsgegevens plaatsvindt. Is dit voor uw organisatie niet direct duidelijk dan kunt u hiervoor contact met ons opnemen.

Binnen uw organisatie zal u verder verantwoordelijken willen benoemen voor de datasets waarin persoonsgegevens opgeslagen / verwerkt worden. Deze ‘systeemhouders’ worden in stap 2 geïdentificeerd.

Natuurlijk heeft het management van de organisatie een verantwoordelijkheid in het aansturen en bevorderen van alle activiteiten benodigd om te kunnen voldoen aan de AVG.

Voorbeelden van organisaties met een intensieve of omvangrijke bewerking van persoonsgegevens zijn:

– (Semi-)Publieke organisaties als ziekenhuizen, onderwijsinstellingen, gemeenten etc.
– Opleidingsbureaus
– Financiële- en juridische dienstverleners
– Uitzend- en payrollingsorganisaties
– Marketingbureaus
– ICT- en telecommunicatieproviders
– Internet-providers
– Systeemintegratoren
– etc

Tip 1:
Om uw informatiehuishouding (en in het verlengde daarvan de beveiliging) op orde te krijgen is een inventarisatie van alle informatiesystemen sterk aan te bevelen.

Tip 2:
Weet u niet waar te beginnen? Maak dan eventueel gebruik van eventueel reeds beschikbare informatie:

– Bestaand beleid;
– Lijst van systeemhouders;
– Opdrachten / klantcontracten;
– Overzichten van informatiestromen / informatiearchitectuur; en
– Auditrapportages.

Voorbeelden van typische verwerkingen in organisaties:
– HRM: personeelsadministratie inclusief gegevens van sollicitanten;
– CRM: contactinformatie van klanten / leads (bijvoorbeeld afkomstig van webformulieren;
– Support / helpdesk: contactinformatie van gebruikers/klantcontacten;
– Inkoop/administratie: persoonsinformatie van leveranciers, opdrachtgevers en andere dienstverleners (verzekeraars etc.); en
– Saas/cloud applicaties: gebruikersgegevens (ten behoeve van identity management).

2. Identificeer en registreer verwerkingen

Vervolgens is het zaak om de opslag/verwerking van persoonsgegevens door uw organisatie te identificeren. Dit kunt u doen aan de hand van gebruikte informatiesystemen of aan de hand van verwerkingsactiviteiten (processen). De keuze wordt hierbij vooral bepaald door het aantal gebruikte informatiesystemen alsook de aard en omvang /complexiteit van de organisatie.

Kiest u voor de aanpak via informatiesystemen dan dient u daarbij ook de verwerkingen in kaart te brengen.

Voor elk van de verwerkingen dient u de verantwoordelijke, het doel, de betrokkenen, de gebruikte persoonsgegevens en de verwerkers in kaart te brengen alsook de termijn waarop de gegevens vernietigd worden. Bedenk hierbij dat de gebruikte gegevens proportioneel moeten zijn t.a.v. het doel van de verwerking.

Tot slot dient u zichzelf de vraag te stellen of voor de betreffende verwerking een Privacy Impact Assessment (PIA) moet worden uitgevoerd. Een PIA legt in de eerste plaats de privacyrisico’s bloot van nieuwe (projecten en initiatieven) of bestaande verwerkingen van persoonsgegevens en draagt bij aan het vermijden of verminderen van deze privacyrisico’s. Op basis van deze PIA wordt op systematische wijze inzichtelijk gemaakt hoe groot de kans is dat de privacy van de betrokken personen van wie gegevens worden verwerkt wordt geschaad, waar deze risico’s zich voordoen en welke gevolgen daaraan voor hen verbonden zijn.

Dit is altijd het geval tenzij dit:

– waarschijnlijk geen hoog privacyrisico oplevert;
– sterk lijkt op een andere gegevensverwerking waarvoor al een PIA is uitgevoerd;
– wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een PIA is uitgevoerd (tenzij de privacytoezichthouder oordeelt dat er toch een PIA nodig is);
– op een lijst staat van verwerkingen waarvoor een PIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

3. Maak een Privacy Impact Assessment (PIA)

Een PIA stimuleert u om op tijd na te denken over vragen als:

  • wat de impact is van het beoogde project op de privacy van de betrokkenen (de mensen van wie u persoonsgegevens verwerkt);
  • wat de risico’s zijn voor de betrokkenen en voor de organisatie;
  • of er, gegeven de doelstellingen van het project, ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy.

Let op: vanaf 25 mei 2018 gelden er nieuwe Europese privacyregels. Uw organisatie kan dan verplicht zijn een data protection impact assessment (DPIA) uit te voeren.

 

Doelen PIA

Met een PIA kunt u het volgende bereiken:

  • minder gevolgen van toezicht en handhaving;
  • betere kwaliteit gegevens;
  • betere dienstverlening;
  • betere besluitvorming;
  • meer privacybewustzijn binnen uw organisatie;
  • betere haalbaarheid van een project;
  • meer vertrouwen van bijvoorbeeld uw klanten en werknemers in hoe u hun persoonsgegevens verwerkt en hun privacy respecteert;
  • betere communicatie over privacy en de bescherming van persoonsgegevens.

Opbrengst PIA

Is er een PIA uitgevoerd, dan kunt u gerichte opdrachten geven aan degene die het product of de dienst verder ontwikkelt. Hierdoor voorkomt u dat in een later stadium kostbare aanpassingen nodig zijn. Bijvoorbeeld dat u een systeem moet herontwerpen of een project moet stopzetten.

Let op: veranderen de omstandigheden van een project tijdens de looptijd, dan is het raadzaam om de PIA te herhalen.

4. Sluit verwerkersovereenkomsten af

Welke gegevens verwerkt uw organisatie? Met welk doel? Van welke partijen ontvangt uw organisatie gegevens? Met welke partijen worden gegevens uitgewisseld? Al deze vragen en meer zijn input voor het overzicht van de verwerkingen dat u opstelt. Belangrijk aspect is dat u kunt aantonen dat u toestemming heeft gekregen van de persoon waarvan u gegevens verwerkt. De betrokkene, zoals dit wordt genoemd, heeft ook het recht om deze toestemming later weer in te trekken. Een juiste en volledige toestemmingsregistratie is essentieel.
Wanneer u verwerkingen van persoonsgegevens uitbesteed aan een derde partij moet u een overeenkomst afsluiten waarin u afspraken maakt over de verwerking.

waarbij de privacyregels gewaarborgd blijven. Dit kan – en bij voorkeur – op basis van een verwerkersovereenkomst. Een verwerkersovereenkosmt legt vast met welk doel de gegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. De overeenkomst legt ook een mogelijke boete op indien de verwerker in gebreke blijft.

Een dergelijke boete (mogelijk oplopend tot miljoenen als gevolg van de AVG) kan disproportioneel zijn voor de verwerker. Afhankelijk van de omvang en type verwerking kan daarom ook gedacht worden aan een privacystatement van de verwerker, indien dit statement voldoende invulling geeft aan de vereiste privacyregels. De verwerker wordt daarbij natuurlijk geacht adequaat invulling te geven aan dit statement.

Een alternatief is ook om de verwerker dezelfde eisen aan privacy en beveiliging op te leggen als die u als verantwoordelijke hanteert voor de verwerking van persoonsgegevens. U krijgt dan echter ook de plicht om de naleving hierop te controleren door middel van audits en / of rapportages. En u zult periodiek de afspraken moeten evalueren.

5. Zorg voor bewustzijn bij in- en externe betrokkenen

De AVG regelt, net als in de Wet Bescherming Persoonsgegevens (WBP), de rechten van de betrokkenen. De AVG vult de bestaande rechten op inzage, correctie en verwijdering aan met een aantal nieuwe rechten. Gegevens van personen moet makkelijk uit de systemen te halen zijn en kunnen worden overgedragen aan een andere partij. Dit wordt ook wel dataportabiliteit genoemd. Daarnaast krijgen betrokkenen het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). De AP moet hier vervolgens op reageren en kan hier mogelijk consequenties aan verbinden die uw organisatie raken.

Uw medewerkers maar ook uw klanten vormen een belangrijke schakel in de beveiliging van privacygevoelige en vertrouwelijke informatie. Bewustwording op het gebied van privacy is dan ook een vereiste voor de hele organisatie.

Met zogenaamde bewustwordingsprogramma’s bevordert u het risicobesef en bewustwording van uw medewerkers. Een bewustwordingsprogramma in een combinatie met groepssessies en e-learnings zorgt, in de context van uw organisatie, dat medewerkers aantoonbaar kennis hebben over privacy. Er ontstaat een positieve houding ten opzichte van privacy en er is sprake van meetbare gedragsverandering. Dit is belangrijk element   in de voorbereiding op de invoering van de AVG!

Figuur: Voorbeeld van een onderdeel ‘E-learning ‘Bewustwording AVG’

Om de rechten van betrokkenen te waarborgen zult u een aantal maatregelen moeten treffen. Het gaat hierbij met name om:
– Toestemming en transparante informatie en communicatie van en met in- en externe klanten:
– Opstellen privacystatement voor op de website waarbij doel en gebruik van persoonsgegevens benoemt worden;
– Vastlegging van toestemming voor gebruik persoonsgegevens;
– In contracten eenduidig doel en verwerking opnemen van gebruikte persoonsgegevens;
– Inzage in doel en verwerkingen van gegevens  plus beperking van gebruik van de gegevens tot het doel van de verwerking:
– Mogelijkheid bieden tot inzage in doel en verwerking van gegevens van betrokkene. Dit kan op basis van het verwerkingsregister waarbij u de betrokkene kunt informeren over de verwerkingen die met/voor de betreffende doelgroep uitgevoerd worden;
– Correctie en/of verwijdering van gegevens en kennisgeving van verwijdering:
– Mogelijkheid bieden voor betrokkene om correctie of verwijdering van persoonsgegevens te realiseren. Denk aan mailingsystemen met een persoonlijk profiel en een unsubscribe optie;
– Hanteren van bewaartermijnen. Zo is bijvoorbeeld de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure;
– Beperking van overdracht van gegevens aan anderen, anders dan noodzakelijk voor het doel van de verwerking;
– Mogelijkheid tot bezwaar en  optie tot geen automatische verwerking:
– Minimaal contactgegevens op de website;
– Cookie consent instellen (mogelijkheid om geen cookies te bewaren bij gebruik van de website) etc.

6. Benoem een Functionaris gegevensbescherming (FG) of Data Privacy Officer (DPO)

De AVG stelt het hebben van een functionaris gegevensbescherming (FG) verplicht voor organisaties groter dan 250 personen. Maar ook voor organisaties met grootschalige (of intensieve) verwerking van persoonsgegevens.

Als organisatie bent u volgens de AVG verplicht een FG te benoemen als u op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn (bron). Denk hierbij aan:

  • Het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • De hoeveelheid gegevens die u verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

Een FG kan intern benoemd worden maar kan ook extern belegd worden. Evate beschikt over een team van tijdelijke specialisten en kan u daarin dus voorzien. Verder kunt u de FG ook als een team inrichten. Voor grotere organisaties is het verder aan te bevelen om taken van de FG te delegeren naar de verschillende organisatieonderdelen middels zogeheten coördinatoren.

De verantwoordelijkheid van de FG is om als toezichthouder de naleving van de AVG te waarborgen. Taken die hierbij uitgevoerd worden zijn uitvoering/bijwonen van PIA’s (zie stap 2), beoordeling en melding van datalekken (zie stap 4), en de controle op naleving door audit en rapportage.

7. Tref maatregelen voor betrouwbaar databeheer

Tot slot dient u de informatiebeveiliging van de systemen waarop persoonsgegevens opgeslagen/verwerkt worden op orde te hebben of te brengen. Om dit te doen kunt u zich de volgende vragen stellen:
– Is er beleid m.b.t. informatiebeveiliging?
– Voeren we regelmatig  risicoanalyses uit om onze beveiliging op orde te houden? En nemen we maatregelen om de risico’s te mitigeren?
– Controleren we de effectiviteit van de maatregelen en stellen we zo nodig bij?
– Voeren we een risicoanalyse en/of een PIA uit bij nieuwe projecten/veranderingen?
– Zijn onze medewerkers bewust van de risico’s die gepaard gaan met de informatiebeveiliging/ privacybescherming? En zijn zij op de hoogte van de maatregelen/regels die hierbij van toepassing zijn?
– Hebben we een procedure voor het melden van datalekken? Begin vorig jaar werd, als onderdeel van de WBP,  de meldplicht datalekken ingevoerd. De invoering van de AVG verandert hier weinig aan. Op dit moment hoeft u alleen de datalekken te registreren die zijn gemeld aan de AP. Straks moet u alle datalekken bijhouden. Heeft uw organisatie vestigingen in meerdere Europese lidstaten? Dan moet u bepalen welke nationale toezichthouder voor uw communicatie leidend is. Hiermee voorkomt u dat u bijvoorbeeld een datalek in meerdere lidstaten moet melden.

 

Evate begeleidt u, uw medewerkers en uw leveranciers door al deze stappen heen en kan u indien gewenst van een FG voorzien op tijdelijke basis, bijvoorbeeld ter overbrugging  tijdens de eerste periode. Wij hanteren een resultaat-gerelateerd businessmodel waardoor u verzekerd bent van de juiste partner binnen deze beperkte tijdslijn.

Neem direct contact op met Mick Slaap, Valerie Roos  of Werner Wollrabe op 085 273 61 94. Wij maken graag een vrijblijvende afspraak met u voor een intake of een advies.

 

 

(Klik om te vergroten)