AVG komt eraan; ben je er klaar voor?

Check ons AVG actieplan en deze vraag is beantwoord.

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze privacywetgeving geldt in de hele Europese Unie en is ook wel bekend als General Data Protection Regulation (GDPR).

Als organisatie krijg je met de komst van AVG meer verplichtingen. De nadruk ligt, meer dan nu, op jouw verantwoordelijkheid om te kunnen aantonen dat je handelt volgens de wet.

Deze verantwoordelijkheid gaat over alle persoonsgegevens die binnen je organisatie worden opgeslagen. Denk hierbij aan gegevens van je medewerkers (salarisadministratie) en je klanten (CRM). Het maakt niet uit of je deze gegevens in een eigen systeem opslaat of dat je hier een externe partij voor gebruikt, zoals bij SaaS dienstverlening voor CRM. Je bent en blijft verantwoordelijk voor de persoonsgegevens die je in deze systemen opslaat.

Strengere en uitgebreidere wetgeving

Deze verantwoordelijkheid is niet nieuw. De Wet Bescherming Persoonsgegevens stamt al uit 2001. Maar de nieuwe wetgeving is een stuk strenger en uitgebreider, veel meer bedrijfsactiviteiten vallen onder de nieuwe wetgeving. Daarnaast geeft de AVG de toezichthouders flinke bevoegdheid waarbij geldstraffen bij overtreding kunnen oplopen tot 20 miljoen euro. Het is dus belangrijk om te beoordelen of je voldoet aan de wetgeving. Niet alleen om de privacy van je medewerkers en klanten beschermen maar ook om boetes te voorkomen.

Om te kunnen voldoen aan de nieuwe wetgeving moet je een aantal voorbereidingen treffen. In mijn werk als softwareleverancier heb ik dagelijks te maken met beveiliging van data en persoonsgegevens. Met deze kennis en ervaring help ik je graag op weg met een concreet actieplan.

“AVG; de nadruk ligt op jouw verantwoordelijkheid om te kunnen aantonen dat je handelt volgens de wet”

AVG – terug naar de basis

Laat ik beginnen bij de basis en een aantal begrippen uitlichten die worden gebruikt in de Algemene Verordening Gegevensbescherming.

1. Persoonsgegevens

Het doel van de AVG is om persoonsgegevens te beschermen. Persoonsgegevens zijn gegevens die informatie bevatten over een natuurlijk persoon en waarmee hij/zij identificeerbaar zijn. Voorbeelden zijn o.a. NAW gegevens, BSN, IP adres en profielfoto.

2. Bijzondere persoonsgegevens

Dan zijn er ook nog bijzondere persoonsgegevens over iemands gezondheid, politieke opvattingen, ras, strafrechtelijk gedrag etc. Aangezien deze gegevens zeer gevoelig zijn gelden hier striktere regels voor. Sterker nog; verwerking is in de meeste gevallen verboden.

Het verwerken van persoonsgegevens omvat alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.

3. Belangrijke rollen binnen AVG

Binnen de AVG zijn drie rollen belangrijk, namelijk:

  • Verwerkingsverantwoordelijke (voorheen verwerker); de persoon / organisatie die het doel van de verwerking vaststelt en de middelen beschikbaar stelt. In het kader van dit artikel ben jij dit.
  • Verwerker (voorheen bewerker); de persoon of organisatie die in opdracht van de verantwoordelijke de gegevens verwerkt. Dit zijn de leveranciers die te maken krijgen met je persoonsgegevens, zoals freelancers, de leveranciers van je SaaS applicaties, de hostingpartij die je gegevens opslaat.
  • Betrokkene; de persoon van wie de persoonsgegevens verwerkt worden.

Ambrero blog AVG komt eraan

AVG actieplan – de voorbereiding

Er is een aantal stappen die je kunt nemen om problemen te voorkomen. Hieronder vind je het overzicht.

Stap 1: zorg voor bewustwording

Informeer beleidmakers binnen je organisatie over de komst van de nieuwe privacyregels. Bepaal gezamenlijk de impact op de huidige processen en welke aanpassingen nodig zijn om aan de AVG te voldoen.

Stap 2: geef de betrokkenen grip

Onder de AVG krijgen de betrokkenen meer privacy rechten, zoals dataportabiliteit. Zorg ervoor dat zij deze rechten ook kunnen aanwenden. Bij het genoemde voorbeeld moet de betrokkene zijn/haar gegevens makkelijk kunnen ontvangen om eventueel door te geven aan een andere organisatie.

Stap 3: breng de persoonsgegevens in kaart

Een onderdeel van je verantwoordingsplicht is het in kaart brengen van de persoonsgegevens die worden verwerkt, het doel ervan, de bron van de gegevens en met wie deze worden gedeeld.

Stap 4: check je verwerkingsgrondslag

Om persoonsgegevens te mogen verwerken moet er een verwerkingsgrondslag zijn, zoals de expliciete toestemming van de betrokkenen. De eisen hiervoor zijn aangescherpt. Pas, indien nodig, de wijze waarop je de toestemming vraagt én registreert aan.

Stap 5: persoonsgegevens beveiligen

De AVG schrijft voor dat je technische en organisatorische maatregelen neemt om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Denk hierbij aan pseudonimiseren en versleutelen van persoonsgegevens, het afschermen van persoonsgegevens, firewalls, virusscanners, het maken van back-ups etc.

Stap 6: hou bij ontwerp rekening met privacy

Privacy by design houdt in dat je bij het ontwerpen van producten en diensten ervoor zorgt dat persoonsgegevens goed beschermd worden. Je dient er voor te zorgen dat je alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Vooral bij het ontwikkelen van maatwerk software kun je ook nadenken over wie bepaalde gegevens mag zien en wanneer hij deze te zien krijgt. Ambrero adviseert haar klanten hierin bij het uitwerken van een applicatie.

Stap 7: maak de standaard strikt

Hiermee wil de AVG bereiken dat, indien een dienst of applicatie de keuze geeft aan gebruikers welke persoonsgegevens wel of niet worden gedeeld en/of verzameld, standaard de meest strikte privacy-instellingen worden gehanteerd om zo de persoonsgegevens te beschermen. Een voorbeeld hiervan zijn de standaard privacy-instellingen van je Facebook account.

Stap 8: maak procedure voor datalekken

Stel een werkwijze op zodat het duidelijk is hoe er moet worden gehandeld bij het ontstaan van een datalek.

Stap 9: sluit verwerkersovereenkomsten af

Heb je het bewerken van jouw gegevens uitbesteed aan bijvoorbeeld een software leverancier of hostingpartij? Sluit dan met deze partijen een verwerkersovereenkomsten die voldoet aan de AVG eisen.

Stap 10: aanvullende voorbereidingen

In een aantal specifieke gevallen is het verplicht om een functionaris voor gegevensbescherming (FG) en/of een Leidend Toezichthouder aan te stellen en/of een Data Protection Impact Assessment (DPIA) te doen. Ga hier na of dit voor jouw organisatie geldt.

Hoe kan een softwareleverancier helpen?

Wanneer je gebruik maakt van een applicatie die extern is ontwikkelt mag je kennis verwachten op het gebied van gegevensbescherming. Een gedegen softwareleverancier geeft advies op het gebied van:

  • keuze van de te verwerken persoonsgegevens
  • de juiste keuzes op het vlak van privacy by design
  • beveiliging en versleuteling van persoonsgegevens
  • het loggen en signaleren van verdachte activiteit

AVG – samenwerken aan een veilige omgeving

Het doel van de Algemene Verordening Gegevensbescherming is om organisaties bewuster om te laten gaan met het verwerken van persoonsgegevens. Uiteindelijk is de veiligheid van deze gegevens alleen te waarborgen als alle betrokken partijen zich verantwoordelijk voelen.

Bij Ambrero is het beschermen van persoonsgegevens en data een belangrijk en vast onderdeel tijdens onze software cyclus. Voor advies over de toepassing hiervan bij een bestaande of nieuw te ontwikkelen applicatie kun je bij mij terecht. Ik help je graag een stap vooruit.

Bart Matthaei