Deze 21 vragen bereiden je voor op de AVG

21 maart 2018
Data als grondstof Digitale transformatie

Durf je als gemeente, organisatie of bedrijf de bezoeker aan het loket recht in de ogen aan te kijken en te zeggen wat je allemaal over hem of haar weet? Of kijk je liever weg uit verlegenheid, omdat je niet zeker weet wat er allemaal vastgelegd is over deze persoon? In dat geval moet je je er bewust van zijn dat wegkijken vaak als het vermijden van een confrontatie beschouwd wordt. Vanaf 25 mei 2018 kan dit dagelijkse kost worden; dan treedt de AVG (Algemene Verordening Gegevensbescherming) in werking.

Enkele alledaagse voorbeelden ter illustratie. Henk meldt zich bij het gemeenteloket om inzage te krijgen in de bouwtekeningen van zijn aangekochte droomhuis. Bert loopt binnen bij de huisarts om zijn medisch dossier in te zien. Bea vraagt zich af of alle röntgenfoto’s bij de tandarts hetzelfde uitwijzen. Johan is op zijn beurt benieuwd naar hoe zijn aankoopgedrag gekoppeld is aan zijn bonuskaart. En last but not least, Jaap die aan een online webshop vraagt om al zijn persoonsgegevens te beperken tot een ‘bare minimum’; alleen de noodzakelijke gegevens om de factuur en verzending te regelen.

Niemand staat erbij stil wat er op de achtergrond allemaal gebeurt met persoonsgegevens. Dit is precies het gebied waar de Europese privacywet AVG om de hoek komt kijken.

Bovenstaande voorbeelden zal iedereen herkennen en iedereen verwacht snel een adequaat antwoord op dergelijke vragen. Intussen staat niemand erbij stil wat er op de achtergrond allemaal gebeurt met de persoonsgegevens, die de basis vormen voor deze antwoorden. Dit is precies het gebied waar de Europese privacywet AVG om de hoek komt kijken. Als bedrijf, organisatie of raad van bestuur zit je uiteraard niet te wachten op een aangetekende brief, waarin gigantische boetes gemeld zijn van vier procent van de omzet met een maximum van twintig miljoen euro.

AVG Mobilee

21 Interessante vragen

Dit is geen bangmakerij van onze kant hoor, want eigenlijk weten de meeste organisaties al grotendeels wat er van ze verwacht wordt. De huidige wetgeving WBP (Wet Bescherming Persoonsgegevens) is immers bekend. De AVG gaat de WBP vervangen om aan de EU-norm te voldoen, maar de AVG mag niet onderschat worden. Zeker niet met de Autoriteit Persoonsgegevens, als strenge handhaver. Wil je ervoor zorgen dat de kans op een boete of reputatieschade tot een minimum wordt beperkt? Stel jezelf dan nu de volgende 21 vragen ter voorbereiding.

 

AVG Mobilee

Bewustwording en identificatie


1. Ben ik voldoende op de hoogte van de inhoud van de AVG?

Het is belangrijk dat je jezelf vertrouwd maakt met de actuele privacywetgeving. Op de website van de Autoriteit Persoonsgegevens vind je uitgebreide informatie over het onderwerp.

2. Besef ik als manager of beleidsmaker voldoende dat de AVG impact heeft op mijn organisatie?

Maak een inschatting van de impact op je organisatie en processen en realiseer je dat de implementatie je mogelijk veel inspanning en geld gaat kosten.

3. Zijn er mensen binnen mijn organisatie verantwoordelijk voor de implementatie van de AVG?

Het is verstandig om een multidisciplinair team samen te stellen met vertegenwoordigers uit ‘geraakte’ afdelingen, aangevuld met juridische expertise op het gebied van privacy.

4. Heb ik een Functionaris Gegevensbescherming (FG) nodig of niet?

Een FG als centraal aanspreekpunt is aan te bevelen, maar is pas verplicht als je een overheids- of publieke instantie bent, als je organisatie op grote schaal personen volgt (via cameratoezicht bijvoorbeeld) of als je op grote schaal bijzondere persoonsgegevens verwerkt, zoals gezondheids- en strafrechtelijke informatie.

5. Heb ik alle in- en externe datastromen binnen mijn organisatie duidelijk in kaart?

Zorg voor een helder overzicht van de in- en externe datastromen en onderzoek via welke applicaties en systemen deze datastromen lopen. Zorg daarna voor een geprioriteerde lijst, waarin de data met de meeste impact of gevoeligheid bovenaan staat.

 

AVG Mobilee

Aanpak en realisatie


6. Ken ik de risico’s van de verwerkingen die mijn organisatie doet?

De wet schrijft voor dat verantwoordelijke organisaties passende technische en organisatorische maatregelen treffen om de verwerking volgens de AVG uit te voeren en om zo min mogelijk risico te lopen. Het risico van de verwerkingen en benodigde maatregelen bepaal je door de kans op een incident in te schatten en te combineren met de mogelijke impact.

7. Moet ik een verwerkingsregister opstellen of niet?

Heb je 250 of meer medewerkers? Dan is een verwerkingsregister verplicht. Bij minder dan 250 medewerkers is alleen ‘registratieplicht’ van toepassing indien je organisatie risicovolle verwerkingen uitvoert, indien je organisatie werkt met gevoelige, bijvoorbeeld medische data, of indien je organisatie zeer grote hoeveelheden data verwerkt. Het verwerkingsregister kan een eenvoudig Excel-bestand zijn. De AVG omschrijft wat je hierin moet bijhouden.

8. Heb ik per type data alles goed vastgelegd?

  • Contactgegevens verantwoordelijke
  • Doel van de gegevens
  • Wettelijke grondslag
  • Categorie persoonsgegevens
  • Categorie betrokkenen
  • Bewaartermijn
  • Verwerkers met toegang
  • Informatie over doorgifte aan niet EU-landen
  • Manier van beveiligen

9. Heb ik een privacy policy?

Je hebt een in- en externe privacy policy nodig om betrokkenen te informeren over de verzamelde informatie en ze te wijzen op hun rechten. Deze bevat minimaal de volgende informatie:

  • Info over vertegenwoordiger van de verantwoordelijke (Privacy Officer)
  • Doel van de verwerking en de juridische grondslag
  • Ontvangers (derden) van de gegevens
  • Bewaartermijnen van gegevens
  • Info over de rechten van de betrokkenen (zoals in AVG staat omschreven)
  • Informatie over procedure bij datalek

10. Heb ik alle procedures en werkwijzen ingericht?

Zorg voor ingerichte procedures om op een efficiënte manier gegevens van betrokkenen te kunnen wijzigen of verwijderen. Om te kunnen voldoen aan dataportabiliteit, ontwikkel je machine-leesbare processen op basis van open standaarden. Zo kunnen gegevens eenvoudig en gecontroleerd worden uitgewisseld.

11. Kennen alle betrokkenen mijn privacy-beleid?

Publiceer het privacy-beleid, bijvoorbeeld op je website. Bij het aangaan van een overeenkomst moeten de betrokkenen dit beleid expliciet accepteren. De interne privacy policy kan gedeeld worden, bijvoorbeeld via het huishoudelijk reglement/handboek en bij de arbeidscontracten.

12. Heb ik naar mijn huidige verzameling persoonsgegevens gekeken?

Onderzoek of het mogelijk is de kwaliteit en relevantie van de data te verbeteren. Probeer daarbij de hoeveelheid data zoveel mogelijk te minimaliseren.

13. Heb ik voldoende en op de juiste manier toestemming gevraagd voor gegevensverwerking?

Als je de verwerking van gegevens baseert op toestemming van de betrokkene, onderzoek dan of je dit doet volgens de nieuwe regels van de AVG. De betrokkene moet ‘expliciet’ en actief toestemming geven. Ook moet de toestemming vastgelegd worden, zodat het aantoonbaar wordt. Zorg ook voor een eenvoudige procedure om de toestemming in te trekken.

14. Heb ik verwerkersovereenkomsten met mijn leveranciers afgesloten?

Verwerkersovereenkomsten moeten voldoen aan de AVG. De AVG zorgt voor meer verplichtingen voor verwerkers, dus controleer ook huidige overeenkomsten. Geef hierbij bijzondere aandacht aan datadoorgifte en -opslag buiten de EU. Hiervoor zijn aanvullende afspraken nodig.

15. Heb ik een procedure voor datalekken ingericht?

Er moet een goede procedure worde ingericht voor het voorkomen van datalekken en het melden van datalekken aan de Autoriteit Persoonsgegevens. Maak hiervoor een overzicht met contactpersonen en leg contractafspraken over het melden van datalekken en de aanlevering van gegevens vast in verwerkersovereenkomsten.

16. Heb ik voldoende technische en organisatorische maatregelen genomen om datalekken te voorkomen?

Technische en organisatorische maatregelen zijn nodig om het risico voldoende te mitigeren. Denk bijvoorbeeld aan de versleuteling van gegevens, de flexibiliteit om de toegang tot gegevens snel te herstellen en security-maatregelen om de vertrouwelijkheid van gegevens te garanderen.

17. Heb ik een Information Security Management System (ISMS) nodig en welke maatregelen horen hierbij?

Het is verstandig om regelmatig door externe auditors te laten beoordelen of je processen en systemen voldoende functioneren. Denk hierbij aan ISO27001 of NEN7510 (zorg). Enkele maatregelen die hieruit kunnen komen; screenen van medewerkers, toepassen encryptie, wachtwoordbeleid en het verstevigen van beveiligingssoftware.

18. Heb ik vastgesteld dat maatregelen succesvol (genoeg) zijn?

De AVG verwacht niet alleen maatregelen van organisaties, de AVG eist ook dat de maatregelen voortdurend geëvalueerd worden. Op deze manier stel je vast dat de genomen maatregelen maximaal succesvol zijn. Zeker als ook de documentatie hiervan op orde is.

 

AVG Mobilee

Borging en toekomst


19. Doe ik voldoende aan “Privacy by Design”?

De AVG schrijft ‘Privacy by Design’ voor. Dat betekent dat al in de ontwerpfase van diensten en systemen de bescherming van persoonsgegevens meegenomen wordt. Denk bijvoorbeeld aan het beperken van de uitvraag van gegevens tot de strikt noodzakelijke gegevens of aan dubbele authenticatie van gebruikers.

20. Doe ik voldoende aan ‘Privacy by Default’?

Naast ‘Privacy by Design’ verwacht de AVG ook ‘Privacy by Default’ van organisaties. Dat betekent onder andere dat persoonsgegevens uitsluitend worden verwerkt voor het doel, waarvoor ze zijn verkregen. Hiervoor moet een organisatie aantoonbare maatregelen nemen.

21. Voer ik Privacy Impact Assessments (PIA’s) uit?

Als de verwerking van gegevens een verhoogd privacy-risico oplevert, dan is een Privacy Impact Assessment noodzakelijk om vast te stellen wat de risico’s zijn en welke maatregelen nodig zijn. Dit is bijvoorbeeld het geval wanneer aan vormen van ‘profiling’ wordt gedaan of wanneer nieuwe technologie wordt geïntroduceerd. Een PIA kun je eenvoudig zelf uit laten voeren, bijvoorbeeld door je Functionaris Gegevensbescherming of door een externe privacy-expert.

 

Terminologie

Wellicht ook handig om te weten; de terminologie die de wet hanteert rondom het AVG-thema. Zo is er de ‘betrokkene’; de persoon, waarvan de persoonsgegevens worden verwerkt. Dit kan iedereen zijn. De AVG heeft betrekking op alle persoonsgegevens die in een organisatie omgaan. Dit is dus niet beperkt tot klanten, maar geldt bijvoorbeeld ook voor medewerkers en andere relaties. Daarnaast is de ‘verantwoordelijke’; de partij die verantwoordelijk en aansprakelijk is voor de verwerking van de gegevens. Zit aan het stuur bij het bepalen van welke persoonsgegevens worden verwerkt, met welke reden en op welke manier. Tot slot is er de ‘verwerker’; de organisaties die de gegevens daadwerkelijk verwerken. Dit kan de verantwoordelijke zelf zijn of een of meerdere partijen die ingeschakeld worden door de verantwoordelijke.

Zorg ervoor dat je individuen recht aan kunt en durft te kijken, een duidelijke uitleg geeft welke data je over hen bezit en voor welke doeleinden je deze gebruikt.

 

Hoe nu verder?

Onze ogen liegen niet; ze zijn de spiegels van de ziel. Ze laten de waarheid zien in elke situatie, ongeacht het masker dat we op zetten. Kijk daarom niet weg en ga de confrontatie aan! Zorg ervoor dat je als organisatie individuen recht aan kunt en durft te kijken, een duidelijke uitleg geeft welke data je over hen bezit en voor welke doeleinden je deze gebruikt. Laat zien dat je het individu en zijn/haar (persoons)gegevens heel serieus neemt.

De AVG-wetgeving is geen bedreiging. Zie het juist als een quick-win om je interne huishouding op orde te krijgen en te houden. En ook nu geldt, net als in een van onze eerdere blogs Datagedreven sturing bij gemeenten: grijp je kans bij de komende verkiezingen: dit is het moment om je kans te grijpen. Wie er werk van wil maken, zal aan de bak moeten en resources vrij moeten maken.

Meld je aan voor de Mobilee nieuwsbrief

Aanmelden

Lees ook: