Veel organisaties zijn nog niet of niet volledig voorbereid op de strenge regels met betrekking tot de Algemene Verordening Gegevensbescherming (AVG). Met slechts tien maanden te gaan moeten bedrijven zich klaarstomen voor deze nieuwe wet. Maar waar begin je als organisatie? Wat zijn de belangrijkste aandachtspunten als het gaat om de bescherming van persoonsgegevens en de naleving van de AVG?
Om organisaties op weg te helpen, heb ik de volgende zes punten op een rij gezet.
1.Ga bewust om met persoonsgegevens.
Zorg dat bestuurders, sleutelfiguren en medewerkers die met persoonsgegevens omgaan wéten hoe zij op de juiste manier met die gegevens om moeten gaan. Dit betekent bijvoorbeeld dat zij vertrouwelijke data die niet nodig is, moeten verwijderen. Denk hierbij aan identificeerbare gegevens zoals BSN, paspoortnummer, enzovoorts. Houd deze gegevens gescheiden van de persoonsgegevens en deel geen persoonsgegevens met anderen (via e-mail bijvoorbeeld) als dat niet nodig is.
2. Toestemming vragen voor opslag persoonsgegevens.
Zorg dat de personen van wie gegevens worden opgeslagen daar actief toestemming voor geven. Geef daarbij aan waarvoor het dient, welke bewaartermijn wordt gehanteerd, en of en met wie de gegevens worden gedeeld. Bied de mogelijkheid aan om de eigen gegevens in te zien en te wissen.
3. Gegevensbeschermingseffectbeoordeling.
Voer met een gegevensbeschermingseffectbeoordeling een onderzoek uit en ga na welke persoonsgegevens worden verwerkt, of er in overeenstemming met de AVG wordt gehandeld en wat het risico is. Bepaal de maatregelen die genomen moeten worden om de gegevens te beschermen. Leg de werkwijze vast en stel een privacy officer aan die rechtstreeks aan de bestuurder rapporteert, want de bestuurder van een organisatie is hoofdelijk aansprakelijk. Deze privacy officer controleert of er correct wordt omgegaan met persoonsgegevens.
4. Verantwoordelijkheid persoonsgegevens ligt bij de verzamelaar.
Sluit een bewerkersovereenkomst met leveranciers en onderaannemers, die als bewerker worden aangemerkt volgens de AVG. Met bewerken bedoelen we het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, wissen of vernietigen van persoonsgegevens. De verantwoordelijkheid van de bescherming van de persoonsgegevens ligt altijd bij de organisatie die de persoonsgegevens verzamelt en niet bij de bewerker. Het is dus belangrijk zorgvuldig om te gaan met de selectie van de bewerker en het is aan te bevelen dat de bewerker zelf gecertificeerd is (zoals ISO 27001 informatiebeveiliging). Het voordeel is dan dat de controle van de naleving van informatiebeveiliging-richtlijnen in de certificering is opgenomen en dat je als opdrachtgever de bewerker niet zelf hoeft te controleren.
Een voorbeeld: wanneer mijn werkgever (Telindus) datamanagement als dienst levert aan klanten, dan is het volgens de AVG een bewerker. Dit betekent dat je als klant een bewerkersovereenkomst afsluit. Je bent als verantwoordelijke van de persoonsgegevens verplicht de bewerker te controleren op de naleving van AVG. Dat kun je eenvoudig doen door je te laten informeren over ISO/NEN/ISAE-certificeringen met betrekking tot informatiebeveiliging en over het te gebruiken ontwerp van de infrastructuur en software – Privacy by design en Privacy by default, mijn volgende punt.
5. Privacy by design versus Privacy by default
Bescherm de persoonsgegevens volgens privacy by design en privacy by default. Privacy by design betekent dat de it-systemen en applicaties de persoonsgegevens standaard op het hoogste niveau beveiligen. Daarnaast hoeven de gebruikers van de systemen geen extra handelingen te verrichten om de gegevens te beschermen. Privacy by default betekent dat er standaard zo min mogelijk gegevens worden verwerkt. Gebruik voor een testomgeving bijvoorbeeld geen identificeerbare persoonsgegevens. Het beschermen van gegevens gaat niet alleen over de vertrouwelijkheid van de gegevens, maar ook over de beschikbaarheid en integriteit van de gegevens.
6. Datalekken altijd melden bij de Autoriteit Persoonsgegevens
Meld een datalek zo snel mogelijk bij de Autoriteit Persoonsgegevens (AP). Voorbeelden van een datalek zijn bijvoorbeeld een gestolen laptop, verloren usb-stick of smartphone (als daar persoonsgegevens op staan), aanval van een hacker, et cetera. Het melden van een datalek bij de AP heeft voor- en nadelen. Het nadeel is dat er een kans is op een boete en imagoschade, maar de voordelen zijn dat je daarna niet meer door de personen waarvan de gegevens zijn gelekt aansprakelijk gesteld kan worden. Overigens zal een boete alleen worden opgelegd bij aantoonbare nalatigheid. Ook als de gegevens versleuteld zijn, is het verplicht het datalek te melden bij de autoriteit. De betrokken personen waar de gegevens van gelekt zijn hoeven niet geïnformeerd te worden over het lekken van hun persoonsgegevens, als aangetoond kan worden dat door versleuteling geen gegevens te achterhalen zijn. De imagoschade is vaak veel groter dan de materiële schade (boete) als een groot aantal betrokkenen op de hoogte gesteld moeten worden.
In de aanloop naar 25 mei 2018 zijn bovenstaande maatregelen een goed begin. Uiteraard is deze lijst niet compleet en raad ik bedrijven aan zich goed te laten informeren over de specifieke eisen waaraan zij moeten voldoen. Veel succes!