AVG ready in heldere taal en praktische stappen

AVG ready in heldere taal en praktische stappen

In de aanloop naar 25 mei 2018 zal in de landelijke pers én bij het koffieapparaat binnen uw bedrijf de woorden AVG, GDPR, privacywet steeds vaker gebruikt worden. Ook bij BLAUD merken we ‘sterk verhoogde activiteit’ bij onze klanten als het gaat om de privacywetgeving in relatie tot hun (mobiele) ICT. Vanuit het perspectief van BLAUD proberen wij u enkele praktische handvatten te geven in dit document.

 

WAT IS ER AAN DE HAND:
Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) aangescherpt met de Meldplicht Datalekken. De Meldplicht geldt voor digitale datalekken door hackers en fysieke datalekken, zoals het verliezen van een memory-stick of ‘analoge datalekken’, zoals het laten liggen van een order met persoonsgegevens in de trein. Hetzelfde jaar, om precies te zijn 24 mei 2016, is de Algemene verordening gegevensbescherming (AVG) in werking getreden.

De AVG (in de EU ook aangeduid als GDPR – General Data Protection Regulation) richt zich op de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. Vooral de toevoeging natuurlijke personen is belangrijk in dit kader, het gaat immers vooral om het beschermen van de privacy. Gegevens die een persoon kunnen identificeren verdienen hierbij extra aandacht. Dit is zeker van toepassing bij bijzondere gegevens zoals medische en financiële gegevens of gegevens die betrekking hebben op kinderen.

Tussen mei 2016 en 25 mei 2018 ligt een periode van 2 jaar waarin bedrijven zich konden en nu nog kunnen voorbereiden op de AVG. Vanaf die datum gaat de overheid de wetgeving handhaven en daarmee zijn hoge boetes van toepassing wanneer een bedrijf zich niet aan deze wet houdt. Vanaf 25 mei 2018 moet het AVG-bewustzijn van uw organisatie ook een dagelijkse gang van zaken zijn. Het is geen project met einddatum maar een continuproces.

WAT BETEKENT DIT VOOR BEDRIJVEN:
Verantwoording afleggen aan betrokkenen ofwel ‘Accountability’
Bedrijven en organisaties zullen zich aantoonbaar moeten inspannen om zich aan de AVG wet te houden. Er wordt van een organisatie verwacht dat deze kan aantonen dat zij op verantwoorde wijze omgaat met de (sub)verwerking van privacygevoelige gegevens. De betrokkenen (in dit kader zijn betrokkenen de natuurlijke personen waarop de informatie betrekking heeft) krijgen meer rechten.
Deze rechten zijn bijvoorbeeld:

  • Het opvragen welke (soort) gegevens u van betrokkene verwerkt
  • Een bedrijf laten verklaren waarom gegevens worden verwerkt
  • Deze gegevens laten aanpassen of verwijderen
  • Deze gegevens laten doorgeven aan een andere organisatie (mits technisch mogelijk natuurlijk)

Bovenstaande rechten vergen nogal wat van uw ICT-systemen en informatieprocessen.
Om een voorbeeld te geven: ga maar eens na waar een enkele CV van een sollicitant is opgeslagen in uw organisatie. Dat zou zomaar in meerdere mailboxen en op meerdere (netwerk)schijven kunnen zijn.

Verplichtingen en to-do’s
Een aantal verplichtingen vanuit de AVG zijn voor alle organisaties van toepassing, dus ook voor uw werkgever/organisatie:

  • Iedere organisatie vanaf 250 medewerkers moet een medewerker aanwijzen/aanstellen als Functionaris Gegevensbescherming. Deze persoon moet toezien op het naleven van de AVG binnen de organisatie en houdt zich bezig met de onderstaande verplichtingen. Zie deze verplichtingen als actiepunten, waarmee u direct aan de slag kunt. Deze richtlijn om een toegewijd functionaris aan te wijzen komt voort uit artikel 37 van de AVG. BLAUD adviseert dat iedere organisatie, ongeacht de grootte, een Functionaris Gegevensbescherming aanwijst. Het privacy-onderwerp is immers belangrijk genoeg.
  • U moet een overzicht bijhouden van gegevensverzamelingen waarin u persoonsgegevens (sub)verwerkt. Subverwerken betekent dat uw organisatie gegevensbewerkingen uitvoert voor derden. Let op: een bewerking kan iets vluchtigs zijn als het tijdelijk zien van persoonsgegevens op een beeldscherm; de AVG is dus écht heel snel van toepassing. Systemen waaraan u moet denken zijn CRM-systemen met klantgegevens maar ook het HR-systeem of de salarisadministratie waarin de gegevens van medewerkers zijn opgeslagen. Dit overzicht heet Register van verwerkingsactiviteiten.
  • De processen/systemen waarin u persoonsgegevens verwerkt moeten op risico’s worden geanalyseerd. Dit noemt men in onhandig Nederlands ‘gegevensbeschermingseffectbeoordeling’, in dagelijks gebruik is de term PIA (kort voor Privacy Impact Assessment) een stuk bruikbaarder. De term DPIA (toevoeging Data) is hetzelfde als een PIA. Een ‘PIA doen’ is feitelijk het analyseren van een proces aan de hand van een checklist. Bij eventuele bevindingen onderneemt u uiteraard hierop actie. Een goede PIA-checklist is die van de NOREA, de beroepsorganisatie van IT-auditors.
  • Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens, maar u dient datalekken ook als organisatie zelf bij te houden in een eigen register datalekken.
  • Als persoonsgegevens verwerkt worden is een organisatie verplicht om aan te kunnen tonen dat u daadwerkelijk toestemming heeft gekregen voor het verwerken van deze gegevens.
  • Als er gegevens worden verwerkt door een derde partij, dan moet uw organisatie met deze verwerker een Verwerkersovereenkomst afsluiten. Deze verplichting komt voort uit artikel 28 van de AVG.


U HEEFT NIET ZOVEEL AAN STUURLUI AAN DE WAL, WAT KAN BLAUD VOOR U BETEKENEN?
De AVG behelst de genoemde verplichtingen en een aantal kernwaarden. Zeer belangrijke kernwaarden zijn ‘Privacy by Default’ en ‘Privacy by Design’. De verwerkingsprocessen en -systemen moeten dus ontworpen zijn met privacy én preventie tegen datalekken als uitgangspunt. Dit begint al door iemand niet meer automatisch in te laten schrijven voor een nieuwsbrief; geen standaard vinkje in het webformulier dus. Ook de toegang tot en beveiliging van gegevensverzamelingen moeten van het juiste niveau zijn. Artikel 32 van de AVG spreekt van passende technische en organisatorische maatregelen rekening houdend met de huidige stand van de techniek en uitvoeringskosten. Dus als een wenselijke en passende oplossing in de markt verkrijgbaar én betaalbaar is, dan zou u er eigenlijk al gebruik van moeten maken.

BLAUD AVG Gelaagd modelU moet dus bepalen welke maatregelen van toepassing zijn binnen uw organisatie. De visie van BLAUD is hierin helder: iedere smartphone, tablet of laptop in uw organisatie raakt (softwarematige) bedrijfsprocessen met privacygevoelige informatie. Of het nu een apparaat van het bedrijf is of ‘Bring Your Own’ als organisatie bent u verplicht maatregelen te nemen om uw bedrijfsprocessen en informatie goed te beveiligen. Een boeiende bijkomstigheid in een Bring Your Own scenario is hoe om te gaan met de privégegevens op het apparaat.

Een goed vertrekpunt van passende technische en organisatorische maatregelen is dus de beveiliging en het beheer van al deze apparaten en software/apps naar een hoger plan brengen. Er is in de markt een palet van producten en diensten voorhanden met verschillende implementatie-prijskaartjes. BLAUD adviseert u welke maatregelen het beste bij uw organisatie en in uw ICT-landschap passen.

De aanpak hierbij richt zich altijd op de 3-eenheid Mens, Organisatie en Techniek. In dit document hebben we al enkele procedurele zaken aangestipt. Gekscherend zeggen we bij BLAUD: ‘Het grootste risico zit tussen de rugleuning van de bureaustoel en het toetsenbord.’. Te vaak is namelijk de mens in de beveiligingsketen helaas de zwakste schakel. Uw collega’s bewustmaken van veiligheidsrisico’s en bekend maken met preventiemaatregelen middels workshops, (mobiele) onlinetraining en intranet-postings is een zeer effectieve en relatief goedkope manier om AVG-ready te worden én te blijven.

Een tweede centrale component in uw AVG-readiness is een degelijke Enterprise Mobility Management omgeving, kortweg EMM omgeving. Met EMM kunt u de ‘endpoints’ in uw bedrijf zoals laptops, smartphones en tablets op afstand voorzien van configuraties en kunt u beveiligingsinstellingen afdwingen. Ook de distributie en beveiliging van apps en content nemen de meeste EMM producten voor hun rekening.

Naast een Enterprise Mobility Management implementatie en de bewustwording van uw organisatie zijn er diverse zaken te implementeren die gegevensbeveiliging, bedrijfsprocessen en gebruiksvriendelijkheid verbeteren. Denk hierbij aan oplossingen om uw cloud- en SaaS-oplossingen extra te beveiligen en oplossingen om documenten slim binnen en buiten uw organisatie te delen. Ook het buiten de deur houden van hackers en malware kan onderdeel worden gemaakt van uw beveiligingsmodel.

De toe te passen processen, technieken, producten en diensten afkomstig van toonaangevende leveranciers uit binnen- en buitenland hebben wij gebundeld in een gelaagd implementatiemodel. Welke lagen en maatregelen binnen uw organisatie het best tot hun recht komen? Dat is voor iedere organisatie anders en dit komen wij graag met u bespreken.

BLAUD helpt u graag AVG ready te zijn en te blijven!

 

– Autoriteit Persoonsgegevens

– De AVG in een notendop (infographic)

– In 10 stappen voorbereid op de AVG

 

 

*disclaimer: bovenstaande is geen juridisch advies, neem contact op met een daarvoor gespecialiseerde instantie.