Ondanks alle media-aandacht voor de GDPR is er bij bedrijven nog steeds veel onduidelijkheid over deze nieuwe wetgeving. Is die ook op hen van toepassing? En zo ja, hebben ze de privacybescherming van hun gegevens wel goed op orde? Om hierbij te helpen, heb ik een lijst opgesteld met de belangrijkste valkuilen waar bedrijven in kunnen trappen ten aanzien van het naleven van de GDPR.
De GDPR is een ingewikkelde wet, omdat hij niet voor 100 procent vanuit de juridische taal één-op-één naar een moderne it-omgeving kan worden vertaald. Veel van de bepalingen in de nieuwe privacywet doen in feite een beroep op het gezonde verstand van de bedrijven die eronder vallen. Het uiteindelijke doel is dat organisaties de privacy van burgers beter beschermen. Hoe zij dit exact doen, verschilt per situatie en per organisatie. Misschien is dit een van de redenen waarom veel mensen een totaal verkeerd beeld hebben van de GDPR en welke gevolgen de wet voor hen heeft. Herken je één of wellicht meerdere van de volgende valkuilen? Dan is het de hoogste tijd om snel actie te ondernemen!
1. Wij verwerken geen gegevens van consumenten
Sommige b2b-bedrijven lijken te denken dat ze niet met GDPR te maken hebben, omdat ze geen gegevens van consumenten verwerken. Dit is een misvatting. De wet is bedoeld om de gegevens van alle burgers te beschermen, dus hieronder vallen ook de eigen medewerkers en die van klanten en partners.
2. Onze organisatie heeft minder dan 250 medewerkers
Zelfs gerenommeerde marktpartijen beweren soms dat de GDPR alleen geldt voor bedrijven met meer dan 250 medewerkers. Dat klopt niet. Het is wel zo dat bedrijven die bepaalde gevoelige gegevens verwerken of aan profiling doen, bijvoorbeeld in de zorg en verzekeringen, verplicht zijn een verwerkingsregister bij te houden. Daarin moeten ze onder andere vastleggen welke gegevens ze verzamelen, waarvoor ze worden gebruikt, hoe lang ze worden bewaard. Dit is bewerkelijk en geldt in principe ook altijd voor de overheid en voor bedrijven met meer dan 250 medewerkers. Maar los van het bijhouden van zo’n register gelden de overige bepalingen van de GDPR dus voor iedereen die persoonsgegevens verwerkt.
3. Wij vallen onder de AVG en dus niet de GDPR
Er zijn partijen die beweren dat de AVG iets anders is dan de GDPR, en dat er voor deze ‘Nederlandse wet’ andere regels zouden gelden. Voor alle duidelijkheid: de Algemene Verordening Gegevensbescherming (AVG) is slechts de Nederlandse vertaling van de Engelse naam General Data Protection Regulation (GDPR). De wetten zijn inhoudelijk identiek. In Nederland is de uitvoeringswet Algemene Verordening Gegevensbescherming opgesteld om de uitvoering van de GDPR en het intrekken van de Wet Bescherming Persoonsgegevens (Wbp) te organiseren.
4. We zijn GDPR-proof met een ISO 27001-certificering
De Autoriteit Persoonsgegevens heeft aangegeven dat bedrijven die over een managementsysteem beschikken dat voldoet aan ISO 27001 of NEN7510, dan wel bij de inrichting van de beveiliging voldoen aan de NCSC-beveiligingsrichtlijnen voor webapplicaties, waarborgen hebben ingericht die voldoen aan eisen uit wet- en regelgeving op het gebied van privacy en de GDPR. Maar hoewel dit soort maatregelen op het gebied van security een belangrijk onderdeel zijn van de privacybescherming, toch komen er nog veel meer zaken bij kijken. Denk bijvoorbeeld aan veilige procedures bij het interne gebruik van digitale en fysieke documenten, of bij zaken als cameratoezicht en het gebruik van IoT-applicaties in winkelcentra.
5. Er worden alleen persoonsgegevens uitgewisseld met ‘veilige’ landen
Er zijn verschillende landen waar bedrijven Europese persoonsgegevens mee mogen uitwisselen, waaronder bijvoorbeeld Amerika, omdat dit land onder de Privacy Shield regeling valt. De EU heeft ook een lijst opgesteld met landen waarmee je veilig gegevens kunt uitwisselen. Hieruit wordt vaak geconcludeerd dat bedrijven vrij persoonsgegevens met deze landen mogen uitwisselen. Dit is veel te kort door de bocht. Bedrijven moeten nog steeds waarborgen voor gegevensbescherming treffen en daarnaast controleren of de buitenlandse partij zich ook aan de regels houdt. De eerste stap hierbij is het sluiten van een bewerkersovereenkomst, en dit vervolgens toetsen.
6. Onze omgeving is GDPR-proof volgens een grondige pentest
Veel bedrijven investeren momenteel in pentests, waarbij ethische hacker hun systemen uitvoering testen op kwetsbaarheden. Daarmee kunnen ze aantoonbaar maken dat hun it-omgeving of online diensten op het moment van testen veilig zijn qua security, maar dit zegt niet altijd iets over de bescherming van privacygevoelige informatie. Net als bij security-certificeringen is een pentest slechts een onderdeel van het gehele plaatje.
7. Volgens onze juridische afdeling zijn we klaar voor de GDPR
Zoals eerder gezegd, vertrouwt de GDPR voor een groot deel op de technische invulling door bedrijven zelf en gezond verstand over omgang met persoonsgegevens. Het advies van een jurist over het voldoen aan de wet is daarom altijd belangrijk om mee te nemen, maar niet altijd maatgevend voor wat in de praktijk werkt. Het is een interpretatie en biedt randvoorwaarden voor de verwerking, die daarnaast ook getoetst zouden moeten worden op hun technische en procedurele onderbouwing.
8. Nederlandse burgers zijn helemaal niet zo angstig over hun privacy
Er wordt soms nog wat te makkelijk gekeken naar wat nu wel of niet privacygevoelige informatie is en waarom die beschermd moet worden. Het vrijwillig publiek delen van vakantiefoto’s klinkt misschien niet risicovol, maar in de metatags zit veel gevoelige informatie verscholen, waaronder de tijd, locatie en het type camera of telefoon. Hiermee zou een inbreker precies kunnen zien dat in het buitenland bent, en vervolgens op basis van eerdere foto’s je thuisadres opzoeken. Stel dat je bijvoorbeeld een bedrijf hebt dat het online delen van foto’s faciliteert, dan moet je je afvragen of het niet verstandig is om deze metadata vanuit privacyoverwegingen uit de afbeeldingen te wissen.
9. De GDPR draait alleen om privacybescherming van digitale gegevens
We leven in een digitale wereld, waardoor we weleens vergeten dat er nog steeds heel veel privacygevoelige informatie in papieren vorm door bedrijven wordt bewaard. Een goed voorbeeld zijn de kopieën van paspoorten van medewerkers, die meestal bij hun aanstelling worden gemaakt. Deze kopieën blijken in het illegale circuit flinke bedragen op te leveren! De kopieën worden meestal gewoon in een map of archiefkast op kantoor bewaard. Het is dus heel belangrijk om je te realiseren dat ook papier onder de GDPR valt.
10. Een hack of ransomware-aanval valt niet onder datalekken
Een laatste valkuil bij de GDPR is dat bedrijven soms denken dat gehackt worden, of het slachtoffer worden van ransomware, niet onder de noemer ‘datalekken’ valt. De gedachte hierbij is wellicht dat gegevens niet door eigen nalatigheid is gelekt, maar door een actieve aanval. Of, in het geval van ransomware, dat niet het stelen van gegevens het doel was van de cybercrimineel, maar het lospeuteren van losgeld. Dit klopt in principe, maar ransomware heeft toegang tot alle gegevens op een systeem en kan die in theorie ook wegsluizen. In beide gevallen is er dus sprake van een datalek, en dit moet gewoon gemeld worden aan de Autoriteit Persoonsgegevens.
Hype en schijnveiligheid
We worden bijna doodgegooid met commerciële teksten, aanbiedingen en diensten van allerlei bedrijven rond de GDPR. Het zou mij niet verbazen als er binnenkort zelfs auto’s op de markt komen met een dergelijk label, onder het mom dat ze de persoonlijke informatie van de eigenaar en het voertuig goed zouden beschermen. Dit is natuurlijk kolder. Er wordt schaamteloos ingespeeld op de hype rond de GDPR door bedrijven een gevoel van schijnveiligheid te verkopen. Ik hoop dat met dit stuk een aantal belangrijke misvattingen rond privacybescherming zijn opgehelderd. Maar uiteindelijk komt het toch aan op gezond verstand over wat de mogelijke privacyrisico’s zijn van de persoonsgegevens waarmee je werkt. Zolang je als t- of security-professional voor jezelf kunt verantwoorden dat die optimaal beschermd zijn, zou dit ook moeten gelden voor de GDPR.
Volgens verscheidende bronnen vallen veel bedrijven die minder dan 250 medewerkers hebben onder het verplicht hebben van een verwerkingsovereenkomst volgens de GDPR. Zo is de uitzondering op de regel dat een bedrijf niet incidenteel gegevens moet verwerken, wat bij veel bedrijven wel voorkomt. Zo spreekt whitewire.nl over de volgende opvatting: “De uitzondering die geldt voor bedrijven met minder dan 250 werknemers is een wassen neus: het is niet de grootte van een onderneming die bepaalt of er meer of minder risico’s zijn voor de verwerking. De uitzondering geldt niet voor verwerkingen die “niet incidenteel” zijn, wat concreet betekent dat verwerkingen van klantengegevens of eigen personeel al aanleiding geven tot het verplicht bijhouden van het register. Ook de KMO dus!” Ik ben benieuwd hoe jullie aankijken tegen het incidenteel verwerken van persoonsgegevens.
De GDPR is voer voor juristen, maar organisaties moeten er nu mee dealen. Het is mooi dat met de praktische uitvoerbaarheid ook al rekening is gehouden. Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat de AVG een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft. Zoals in mijn artikel al staat: veel van de bepalingen in de nieuwe privacywet doen in feite een beroep op het gezonde verstand van de bedrijven die eronder vallen. Bij het incidenteel verwerken gaat het om veel meer dan het hebben van een klanten-/personeelsadministratie: bijvoorbeeld het verzamelen van surfgedrag van mensen (wellicht wordt zelfs profiling mogelijk), klantgegevens verrijken met informatie uit andere bronnen (datamining) of extern gaan delen van persoonsgegevens. Op basis van de Privacy Impact Assessments kom je tot de – voor jou – juiste beslissing. Als je het voorwerk goed doet of laat doen kun je later ook verantwoorden welke stappen je wel en niet hebt gezet.
De geest achter de AVG is vrij simpel: Verantwoord omgaan met data die personen aangaan en hier transparant over zijn. Dit is niet een IT / Juridisch ding, maar bestaat uit het aloude people, processes, technology. Gedrag (people) is belangrijk omdat een excel met persoonsgegevens versturen naar een verkeerd e-mail adres zo gebeurd is. Weten wat je waar opslaat en hoe je moet handelen (processes) bijvoorbeeld bij een datalek of als je een nieuwe leverancier gebruikt die jouw data verwerkt zoals bij outsourcen van processen zoals HRM of hosting. Dan als laatste het datawerkelijk opslaan en verplaatsen (technology). Dit moet verantwoord en veilig gebeuren. Niet weten dat je over het internet alleen versleuteld persoonsgegevens mag communiceren is hiervan een voor de hand liggend voorbeeld van fout toepassen van technologie.
Al deze zaken hebben 0 te maken met de grootte van je bedrijf van ZZP tot multinational gelden nagenoeg dezelfde regels. Het aanstellen van een privacy officer is dan bijvoorbeeld een uitzondering, dat hoeft niet als klein bedrijf, niettemin is het wel aan te raden. Zo weet je zeker dat iemand binnen het bedrijf weet hoe het zit en verantwoording moet nemen. Dit kan gewoon als nevenfunctie. Mijn punt is naast de genoemden tien “valkuilen” dat het allemaal geen rocket science is. Dat het uiteindelijk wel complex kan worden of heel veel werk staat er los van, maar het principe is simpel. Vraag toestemming, weet wat je opslaat, communiceer met wie je dat doet (verwerkers) en hou je processen up-to-date. Als laatste zijn er dan de randverschijnselen zoals ingetrokken toestemming, minderjarigen, etc. Dat proces zullen heel veel bedrijven nog niet op orde hebben volgend jaar, maar daar verwacht ik ook niet de strengste handhaving… AP krijgt het nog druk zat 🙂
Met betrekking tot je 4e punt ben ik benieuwd waar staat/waar ik dit / deze uitspraak kan vinden “De Autoriteit Persoonsgegevens heeft aangegeven dat bedrijven die over een managementsysteem beschikken dat voldoet aan ISO 27001 of NEN7510, dan wel bij de inrichting van de beveiliging voldoen aan de NCSC-beveiligingsrichtlijnen voor webapplicaties, waarborgen hebben ingericht die voldoen aan eisen uit wet- en regelgeving op het gebied van privacy en de GDPR. “. Ik kan dat namelijk nergens vinden dat de AP dit zo stel irt de GDPR.
Bas, wat ik denk dat er staat bij punt 4 is dat certificeringen niet automatisch betekenen dat je AVG compliant bent.
Veel bedrijven denken wellicht “ik heb zoveel certificering, wij doen het al goed” en dat is dus niet waar en dus een valkuil.
Of zoek je letterlijk ISO27001:2013 / NEN7510 in de AVG? Die termen staan er inderdaad niet in.
Bas/Henri. Vanaf 2013 (Richtsnoeren beveiliging persoonsgegevens) wordt verwezen naar ISO 27001 en NEN 7510 (Hfst 2.5 bijv.).
Ik zie in de richtsnoeren bijvoorbeeld volgende tekst “Over het algemeen wordt een optimale beveiliging bereikt door de informatiebeveiliging binnen de organisatie in te richten op basis van een algemene beveiligingsstandaard
zoals de Code voor Informatiebeveiliging en bijvoorbeeld bij de ontwikkeling en het beheer van webapplicaties
uit te gaan van de ict-beveiligingsrichtlijnen voor webapplicaties van het ncsc”. Vandaar mijn verwijzing hiernaar.
Goed stuk.
Echter de AVG geldt niet alleen voor de IT, maar voor alle bedrijfsprocessen waar data van natuurlijk personen verwerkt wordt. Dus ook bv het papieren archief.
De belangrijkste verandering is dat bedrijven, hoe groot of klein dan ook accountable moeten zijn en daarvoor een verplicht register van verwerking moeten hebben welke aan regels gebonden is (art 30). Daarbij zijn sommige bedrijven, zoals overheid, ziekenhuizen, zorginstellingen etc verplicht een DPO/FG in dienst te hebben (art37 lid 1 en WP243) en zijn sommige bedrijven verplicht een DPIA uit laten voeren (art 35 en WP248).
Art 15 “Recht van inzage van de Betrokkene” gaat ook nog een leuke worden. Verwerkingsverantwoordelijke is verplicht om binnen een maand aan het verzoek van de Betrokkene, met betrekking tot welke gegevens van hem/haar zijn opgeslagen gratis te voldoen
Verder is de scheiding Verwerkingsverantwoordelijke, verwerker belangrijk. Probleem hierbij zou de chain van het doorspelen van gegevens van natuurlijk personen kunnen zijn. De verwerkingverantwoordelijk blijft altijd aansprakelijk. Een goede verwerkingsovereenkomst is belangrijk maar zelfs dan !!
Veel zaken om rekening mee te houden.
Arno Titawano DPO/FG
Arno, bedankt voor je reactie. Helemaal correct. Ik zou overigens bijna een 11e valkuil opnemen in de tekst: in de praktijk zie ik af en toe terug dat organisaties in protocollen (gericht op de AVG) kostencompensatie opnemen voor het gebruik van het recht van inzage. In tegenstelling tot de Wbp is dit onder het AVG regime niet mogelijk: “gratis te voldoen” dus inderdaad.