AVG of GDPR, afkorting voor het volgende hoofdpijndossier?

De Algemene Verordening Gegevensbescherming of General Data Protection Regulation gaat op 25 mei 2018 echt in werking. Wat betekent dit nu voor jouw organisatie en ben je er klaar voor? Omdat wij hier ook mee worstelen hebben wij gesproken met Joris Bijvoets van Kompletigo om dit voor ons in kaart te brengen. Onze blog wordt deze keer door hem geschreven.

Verandert er nu echt zo veel?

Veel van de regels in de AVG zijn in bepaalde variatie terug te vinden in de oude privacywet, Wet Bescherming Persoonsgegevens. Voor wie al jaren bezig is met privacybeheer lijkt het alsof er ook ‘veel oude wijn in nieuwe zakken’ wordt gegoten. Toch wordt er nu steeds meer over gepraat, hoe kan dat dan?

Een in het oog springend onderscheid met de vorige regelingen, is dat de naleving veel strenger wordt, en de mogelijke boetes exorbitant hoog kunnen worden (voor bepaalde situaties zelfs minimaal € 20 miljoen).

Een ander onderscheid is dat de bewijslast wordt omgekeerd; had de belastingdienst tot voor kort het min of meer hier het monopoly op in het fiscaalrecht, vanaf 25 mei 2018 dient elke ondernemer te kunnen aantonen dat de privacyregels goed worden nageleefd. 

Maatschappelijke beweging

Beide kwesties zorgen toch voor een maatschappelijke beweging. Het onderwerp privacy komt steeds weer terug in discussies. Er zijn zelfs bedrijven die gebruik maken van hun verhoogde privacybescherming om een (unique) selling point te benadrukken. Of men nu blij mee is met de AVG of niet, feit is dat de privacy, die jarenlang vaak een sluitpost vormde in de planning en de begroting, nu opeens grote aandacht krijgt van het management.

Aantoonbaarheid

De verplichting om de compliancy aan te kunnen tonen heeft grote invloed op het bedrijfsleven. Want hoe toon je aan dat je goed bezig bent op dit gebied? Gelukkig is de AVG niet zozeer een wet van ‘kan niet, mag niet’, maar het geeft aan hoe persoonsgegevens dienen te worden verwerkt en onder welke voorwaarden; daarbij vind je er ook in terug, met welke middelen je kunt aantonen dat je het privacybeheer onder controle hebt, en waaraan deze middelen moeten voldoen.

Met de volgende, in de AVG genoemde middelen kun je al veel aantonen:

Privacybeleid

Hoe denkt het bestuur/de directie over privacy en hoe wil je die beschermen?

Verwerkingenregister

In dit register zet je een flink aantal feiten op een rij over de verschillende verwerkingen van persoonsgegevens in je organisatie. Zo weeg je de belangen van de organisatie af tegen die van de betrokkenen, documenteer je het beveiligingsniveau, leg je de bewaartermijnen vast van de verschillende gegevens, etc. Als er iets fout gaat, en je wordt gecontroleerd door de Autoriteit Persoonsgegevens, dan is dit document het eerste waar ze naar vragen.

Privacy Impact Assessments

Voor met name risicovolle verwerkingen is een ‘Privacy Impact Assessment’ (PIA, of ook wel DPIA) noodzakelijk. Hiermee breng je als organisatie de privacy risico’s van een project op een gestructureerde en heldere manier in beeld in een vroeg stadium.

Datalekprocedure

Een handleiding ‘Wat te doen als het onverhoopt mis gaat’. Melden van een datalek kan in bepaalde situaties verplicht zijn bij de betrokkenen en/of bij de Autoriteit Persoonsgegevens.

Aanstellen van een (externe) Functionaris Gegevensbescherming

Ook nieuw in de AVG is de verplichting om in bepaalde situaties een functionaris gegevensbescherming (afgekort met FG) aan te stellen. Een FG heeft twee hoofdtaken:

  1. Adviseren over privacyzaken, fungeren als aanspreekpunt op dit gebied, en meehelpen bewustzijn voor dit onderwerp in de organisatie te kweken.
  2. Toezicht houden op de privacybescherming: wordt het beleid nageleefd, is de bescherming voldoende? Aanwijzingen van een FG zijn niet bindend, maar wel dringend. Ga je tegen het oordeel van een FG in, dan kun je later in de problemen komen.

Een FG helpt dus ervoor te zorgen dat de privacybescherming op een juist niveau komt en blijft. Een bijkomend voordeel van het aanstellen van een functionaris gegevensbescherming, is dat de Autoriteit Persoonsgegevens zich terughoudend zal opstellen bij die organisaties die een FG hebben aangesteld.

Informatiebeveiliging

Verhoudingsgewijs wordt er niet veel gezegd in de AVG over informatiebeveiliging. Maar dat een passende beveiliging vereist is, wordt wél expliciet genoemd.

Wanneer is de beveiliging dan passend?

Organisaties met veel en bijzondere persoonsgegevens doen er goed aan om een uitgebreid managementsysteem hiervoor op te zetten. Een internationale erkende norm hiervoor is ISO 27001. Voor kleinere organisaties is dat te zwaar, en volstaat het om een aantal belangrijke maatregelen te nemen. 

Risicoanalyse

Hét beginpunt van een goede informatiebeveiliging, die ook goed te doen valt in een kleine organisatie, zelfs bij ZZP-ers, is het uitvoeren van een risicoanalyse. Door de risico’s voor informatie op een rij te zetten, en een getalsmatige waarde toe te kennen aan elk risico apart, kun je inventariseren waar en in welke volgorde je nog aandacht moet besteden. Voer minimaal jaarlijks een risicoanalyse uit, zodat je je beveiliging op een optimaal niveau kunt houden. Het bewaren van de resultaten draagt overigens bij aan een aantoonbaar goede bescherming.

Overige maatregelen, die niet technisch zijn

Los van de voor de hand liggende technische beveiligingsmaatregelen is het beheren van allerlei onderwerpen belangrijk voor informatiebeveiliging. Denk bijvoorbeeld aan het beheren (en registreren!) van de toegang tot gegevens door personeel of door leveranciers (externe ICT-beheerders!).

Leveranciers beheren

Een laatste, belangrijk aspect van zowel privacybeheer als informatiebeveiliging is het beheren van je leveranciers. Als je persoonsgegevens verwerkt en je besteedt dit deels uit, dan ben je verantwoordelijk voor de keuze van al je leveranciers. Is deze leverancier niet goed bezig op privacy- of beveiligingsgebied? Ga dan naar een ander.

Verwerkersovereenkomsten

Maar dat laatste is makkelijk gezegd. Hoe weet je dat een leverancier goed bezig is? Hiervoor noemt de AVG de ‘Verwerkersovereenkomst’. Vast niet toevallig is dat ook bij ISO 27001 een vereiste maatregel.

In een Verwerkersovereenkomst leg je vast, welke regels er gelden op het gebied van beveiliging. En let op: er zijn veel verwerkersovereenkomsten in omloop, die goed waren voor de oude privacywet, de WBP, maar die onvoldoende zijn voor de AVG. De AVG stelt een flink aantal elementen in de overeenkomst verplicht. Raadpleeg bij twijfel een specialist om de overeenkomst te laten controleren.

Mocht je meer willen weten dan raden wij aan om contact op te nemen met Joris Bijvoets, bijvoets@kompletigo.nl, mobiel 06-53 972 275.

Eens van gedachten wisselen over dit onderwerp of andere zaken?
Vraag een consultancygesprek aan met ons (info@amole.nl). Het tarief is €150,- ex btw per uur.

Kees Tuip en Mariëtte Bos

×