De vragen van klanten over de impact van de GDPR op hun organisatie zijn niet van de lucht. Maar kun je als it-dienstverlener wel een centrale rol spelen bij het GDRP-proof maken van de informatiehuishouding van een klant? Ja, omdat het standaarden en processen vereist die redelijk normaal zijn voor grote it-bedrijven, maar minder voor hun klanten. Uiteindelijk zal elke organisatie er zelf mee aan de slag moeten.
Er is bij bedrijven nog veel onbekendheid met de GDPR, of de Algemene Verordening Gegevensbescherming (AVG), zoals hij in Nederland heet. Sommigen vertellen trots dat ze de verordening hebben doorgelezen, wat een goed begin is, maar geen topprestatie.
Het gaat om een belangrijk stuk wetgeving, dat grote gevolgen kan hebben voor hoe bedrijven omgaan met privacygevoelige data. Het is daarom een must om de wettekst op zijn minst door te lezen. Zo lang en ingewikkeld is de tekst niet, en je zult merken dat je de mogelijke gevolgen in de juiste proportie gaat zien. Er zijn nu nog bedrijven die bang zijn dat ze ineens alles anders moeten gaan doen bij het werken met klantgegevens. Maar er zijn ook organisaties die de GDPR sterk onderschatten en denken met een paar onderlinge afspraken klaar te zijn voor de nieuwe privacywet. Dat is te kort door de bocht. Ik schets hier een realistisch beeld over hoe je het best met de GDPR aan de slag kunt gaan.
Risicoanalyse
Een grote beperking van de GDPR is dat de wet handvatten geeft voor het optimaal beschermen van privacygevoelige data, maar dit niet concreet invult.
Daarnaast is het in feite een juridisch document waarin niet bepaald it-taal wordt gesproken. Dit heeft tot gevolg dat je vanuit je eigen perspectief invulling moet geven aan de wet. Het is daarom belangrijk dat je zelf een risicoanalyse doet en voor jezelf vaststelt welke technische en procedurele maatregelen je moet nemen op privacygebied. En de keuzes die je maakt, moet je kunnen verdedigen op het moment van een probleem. Bij een datalek zul je bijvoorbeeld moeten aantonen welke beveiligingsmaatregelen zijn genomen en waarom je op een bepaalde manier hebt gehandeld.
Het draait dus niet alleen om het op orde hebben van je security, maar ook om het kunnen aantonen daarvan.
Dwingende maatregelen
Ik vraag me weleens af of de eisen die GDPR stelt aan privacybescherming echt op zoveel punten verschillen van wat nu al moet doen vanuit de Wet bescherming persoonsgegevens. Ook die vereist dat je een risicoschatting maakt en passende maatregelen treft, en ook die zijn niet vrijblijvend. In de nieuwe wet worden de eisen iets harder geformuleerd en wettelijk sterker afgedwongen.
Maar zaken als ‘security by design’ en ‘security by default’ zouden bij elk bedrijf dat met persoonsgegevens werkt al lang geregeld moeten zijn, ook al is dat op dit moment lang niet voor iedereen het geval. Daarom is het juist zo belangrijk dat it-leveranciers hun klanten hierbij ondersteunen. Zij zijn immers op een veel hoger niveau met datasecurity bezig en hebben vanuit hun rol ervaring bij het inregelen van een optimale beveiliging, inclusief de procedures en rapportages die het voortdurend passend zijn van de maatregelen aantoonbaar maken.
Security is maatwerk
Bedrijven die goed met de GDPR omgaan, begrijpen dat security een organisch geheel is. Het reikt verder dan enkel de eigen it-systemen of processen. Het hele netwerk van externe dienstverleners en leveranciers speelt een rol in de beveiligingsketen. Het kan zeker helpen als deze partijen al aan gangbare certificeringen en rapportagestandaarden voldoen, zoals ISO 27001:2013, Soc2 en NEN 7510. Hiermee kun je al aan veel van de GDPR-eisen voldoen. Zo kun je als klant bijvoorbeeld om een assurance-rapport vragen waarin staat wat er aan security wordt gedaan, inclusief de conclusies hierover van een externe auditor.
Daarnaast zou je met je dienstverlener in gesprek moeten gaan voor aanvullend advies over het op de juiste manier inrichten van beveiliging.
Ten slotte nog drie tips voor het GDPR-proof maken van je organisatie.
- Geen paniek
Weet waar je het over hebt en luister niet te veel naar de sensationele berichten in de media of op blogs. We zitten met de GDPR allemaal in de verkennende fase. Lees de verordening eens door en bekijk op basis van gezond verstand hoe het je organisatie raakt en hoe je hier op kunt reageren.
- Overleg
Neem je it-dienstverlener mee in het proces. Praat over de verwarring die de juridische taal schept. Bijvoorbeeld het fysiek vernietigen van gegevens is – als je dat benadert als het fysiek vernietigen van een datadrager – vrijwel onmogelijk in een wereld waar virtualisatie, cloud, ouderwetse tape-backups en papieren documenten naast elkaar worden gebruikt. Door dit met elkaar te bespreken, kun je de mogelijkheden onderzoeken en een realistische afweging maken van de noodzakelijke maatregelen.
- Overzicht
Accepteer dat GDPR-compliance voor elk bedrijf maatwerk is. Er is geen quick fix of een standaardcertificaat waarmee alle problemen zijn opgelost. Het is daarom noodzakelijk om de mogelijkheden en procedures van de eigen organisatie helder te krijgen en die waar nodig te verbeteren. En mocht er dan toch iets mis gaan, dan heb je in de achterzak een kwalitatief toereikende risicoanalyse nodig met bewijs van de genomen ‘passende’ beveiligingsmaatregelen. Is dat het geval, dan was je in principe GDPR-proof. Maar uiteindelijk moet het centrale uitgangspunt natuurlijk zijn dat er helemaal geen
In hoeverre gelden deze voorwaarden voor zzp’ers die gegevens van hun klanten bijhouden?
Ik probeer mijn klanten, voornamelijk ook zzp ondernemers, te informeren over deze wet. De meeste kijken je dan vragend aan en weten niet dat ook zij de vastgelegde gegevens moeten beschermen. Maar hoever ga je als zzp’er? Is hier iets over te vinden dat duidelijkheid geeft voor deze groep ondernemers? Ik heb al het nodige gegoogled, maar wordt niet veel wijzer.
Wie heeft u tips?
Gebrand, AVG is voor alle organisaties, dus ook de eenmanszaak. Dus stel dat jij gegevens verzameld van mensen om nieuwsbrieven te gaan versturen, dan moeten deze mensen expliciet hiervoor toestemming geven. Grote kans dat je hiervoor echter tools gebruikt, bijvoorbeeld MailChimp. Omdat je persoonsgegevens in de dienst van MailChimp opslaat moet je onderzoeken hoe en wat zij doen en bovendien een verwerkersovereenkomst sluiten. Dat gaat je niet lukken, maar veel bedrijven waaronder Microsoft bieden wel iets soortgelijks aan (je zou namelijk persoonsgegevens op kunnen slaan in O365). Als je dan aan de personen die toestemming geeft aangeeft met welke reden je welke data opslaat bij bedrijf X dan zal in geval van een datalek bij bedrijf X jij mogelijk niet aansprakelijk gesteld kunnen worden van een datalek van jouw data bij bedrijf X.
Het is vooral bedoeld dat je data van mensen op een verantwoorde manier verwerkt en dit op een juiste manier doet. Jij wil toch ook weten als je gegevens ergens achterlaat wat daarmee gedaan wordt en met wie?
Het zal allemaal wel even wennen worden, maar denk dat AVG / GDPR wel een goed iets is, juist ook omdat het Europees is en dat voordelen heeft net als een Euro dat heeft.
Ik zou me er niet al te druk om maken, maar wel even verdiepen wat je doet en daar open over zijn naar mensen over wie je data opslaat. Ook moet je denken aan de impact. Wat is de impact als je een data lek hebt? Een lijst met voor en achternaam en zakelijk email adres heeft minder impact dan als je ook bankrekeningnummers, BSN nummers en bijvoorbeeld dingen vastlegt als geloof en lidmaatschappen of lichamelijke aandoeningen.
Ik heb een vraag over de “opt-in” voor winkeliers (geen webshop maar stenen winkels).
Een eenmanszaak in schoenen (schoenenwinkel).
Wanneer je aan je klanten bij de toonbank vraagt ‘wil je ook onze nieuwsbrieven ontvangen?’ en ze dan hun e-mailadres invullen op een papieren formulier.. en al die papieren formulieren worden netjes bewaard in een map.
Dan is er volgens mij sprake van explicite toestemming maar is dat volgens de GDPR?
Ik vind helaas nergens informatie of de expliciete toestemming ook op PAPIER mag?
Weet u dat ?
MK: Dat is prima en werkt helemaal zolang je maar duidelijk op het formulier aangeeft waarvoor een klant zijn akkoord geeft en de nieuwsbrieven een makkelijke manier bieden om toestemming in te trekken. Op papier is vaak mooier want beter te bewijzen dan een elektronisch vinkje die je zelf achteraf kunt manipuleren.
Dus ja, papieren toestemming is prima.