De Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in. Men moet 5 stappen doorlopen om te voldoen aan de nieuwe AVG privacywetgeving. Wij helpen u graag stapsgewijs verder op weg met de AVG.
In het kort houdt de regelgeving o.a. het volgende in:

  • Persoonsgegevens mogen enkel verwerkt worden wanneer er een goede reden (wettelijke grondslag) bestaat voor het verwerken ervan.
  • De persoonsgegevens mogen enkel verwerkt worden voor het doel waarvoor ze zijn verzameld.
  • De betrokkene heeft vooraf toestemming gegeven voor het verwerken van zijn/haar persoonsgegevens voor dat specifieke doel.
  • De persoonsgegevens zijn beveiligd door middel van passende technische en organisatorische maatregelen.
  • Recht om vergeten te worden: wanneer een persoon hierom verzoekt, dienen – onder bepaalde voorwaarden – diens gegevens uit alle systemen verwijderd te worden.
  • Aanhouden van de beginselen “privacy by default” en “privacy by design”: dit houdt in dat er standaard niet meer gegevens worden gevraagd en opgeslagen dan noodzakelijk.
  • Recht op informatie: de betrokkenen dienen vooraf helder geïnformeerd te worden over wat er met hun persoonsgegevens gebeurt.
  • Documentatieplicht: het bijhouden van een register van alle verwerkingsactiviteiten.
  • Er dient een verwerkersovereenkomst afgesloten te worden met alle betrokken partijen. Remmerswaal heeft dit ten aanzien van haar relaties / cliënten geregeld in de van toepassing zijnde algemene voorwaarden in combinatie met de bijbehorende privacyverklaring (de link naar deze beiden onderdelen staat onderaan de homepage van deze website). Remmerswaal heeft met derde partijen waarmee wordt samengewerkt aparte verwerkersovereenkomsten gesloten dan wel sluit die op korte termijn.
  • Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk.

De Autoriteit Persoonsgegevens (AP) heeft een handige website, https://autoriteitpersoonsgegevens.nl, met vragen, antwoorden en een vijf stappenplan. Welke acties zijn voor u op basis van de richtlijnen van de AP van belang?
De vijf stappen luiden:

  1. Creëer intern bewustwording en zorg voor een vast aanspreekpunt
  2. Maak een register met persoonsgegevens die u verwerkt
  3. Breng risico’s in kaart en zorg voor technische (beveiligings-) en organisatorische maatregelen
  4. Zorg voor documentatie van datalekken
  5. Breng verwerkingen door derden in kaart en sluit verwerkersovereenkomsten

1. Creëer intern bewustwording en zorg voor een vast aanspreekpunt
Informeer uw medewerkers over de wetgeving, de impact van de AVG op uw huidige processen en bij wie zij terecht kunnen bij vragen. Onder de AVG krijgen uw klanten meer privacyrechten. Nieuw is bijvoorbeeld de mogelijkheid die klanten hebben om gegevens eenvoudig op te vragen en door te geven aan een andere organisatie.
Het is vooral van belang te weten wat er allemaal verstuurd wordt en wat u ontvangt. Stel dat er een veiligheidsincident is: wie is verantwoordelijk, wie bepaalt of het een datalek is, wie gaat het melden? Zorg dat uw medewerkers zich bewust zijn van de regels en dat ze weten bij wie ze terecht kunnen.

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen die toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris heet ook wel: Privacy officer, Security officer of Data protection officer. Soms is de verplichte aanstelling er niet, maar het is raadzaam om iemand verantwoordelijk te maken voor alle werkzaamheden die voortvloeien uit de nieuwe wet.
Vergeet niet dat ook uw klanten moeten nadenken over het aanstellen van een intern aanspreekpunt, wellicht in de rol van Privacy officer. Voor u biedt dat mogelijkheden om deze rol ook richting klanten te vervullen.

2. Maak een register met persoonsgegevens die u verwerkt
Documenteer welke persoonsgegevens u verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Belangrijk is de wettelijke grondslag op basis waarvan u de gegevens verwerkt. De vastlegging doet u in een register: wat doe ik, met welke gegevens, hoe heb ik dat beveiligd en wat zijn de rollen en rechten: alleen die personen mogen erin die toestemming hebben en alleen gegevens van klanten die toestemming hebben gegeven mogen worden verwerkt. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van uw klanten heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor uw klanten net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert.
Onderdelen van het register zijn:

  • De categorieën van betrokkenen en persoonsgegevens
  • De doeleinden van verwerking
  • De grondslag voor verwerking van gegevens
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

3. Breng risico’s in kaart en zorg voor technische (beveiligings-) en organisatorische maatregelen
Onder de AVG kunt u – of uw klant – verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. De DPIA wordt in principe per proces uitgevoerd, maar kan ook voor een organisatie als geheel worden uitgevoerd. Raadzaam is wel om voor de gegevens en verwerkingen in het register de eventuele risico’s van de verwerking te classificeren. Op basis hiervan kan vervolgens worden bekeken voor welk(e) proces(sen) een DPIA zinvol is.
Daarnaast zult u ‘privacy by design & default’ als standaard in de bedrijfsvoering en ICT moeten invoeren. ‘Privacy by design’ houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. ‘Privacy by default’ houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld: als iemand zich op uw nieuwsbrief wil abonneren mag u niet meer gegevens opvragen dan nodig is.

4. Zorg voor documentatie van datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Daarbij gaat het niet alleen om bijhouden van de incidenten waarvoor u een melding heeft gedaan bij de AP maar om alle incidenten, inclusief de afweging die u heeft gemaakt om het incident niet te melden. Gelet op het belang voor de organisatie en de bestuurlijke aansprakelijkheid moet de verantwoordelijke functionaris periodiek rapporteren aan de directie en/of het bestuur.
Heeft u nog nooit een veiligheidsincident gehad of is er geen datalek aan u gerapporteerd? Dan is de kans groot dat u nog niet ‘in control’ bent want iedereen krijgt er vroeg of laat mee te maken. Weet u bijvoorbeeld waar en wanneer werknemers hun vertrouwelijke bedrijfsdocumenten openen? Hebben uw werknemers nog nooit privacygevoelige gegevens naar de verkeerde ontvanger gestuurd of een phishing-mail geopend? En weet u zeker dat uw vertrekkende medewerkers na vertrek niet meer over wachtwoorden kunnen beschikken? Misschien nog wel belangrijker is de vraag of uw medewerkers weten wanneer sprake is van een veiligheidsincident en welke actie ze vervolgens moeten nemen. In bijna de helft van de datalek-meldingen bij de Autoriteit Persoonsgegevens was slordigheid van de medewerkers de bron.

5. Breng verwerkingen door derden in kaart en sluit verwerkersovereenkomsten
Bij verwerking van gegevens is sprake van een verantwoordelijke en een bewerker. De verantwoordelijke bepaalt wat en waarom moet worden verwerkt. De bewerker is de externe partij die dit vervolgens uitvoert.
Is gegevensverwerking aan u uitbesteed of heeft u gegevensverwerking uitbesteed aan een (sub)bewerker, bijvoorbeeld een online softwareleverancier? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Neem altijd de drieluik ‘klant – interne organisatie – leverancier’ als uitgangspunt. U moet dus richting uw klanten voldoen aan de regels, maar ook richting leveranciers. Check de contracten en gemaakte afspraken goed voor alle pakketten die zijn uitbesteed en zorg voor verwerkersovereenkomsten. Maakt een dataverwerker een fout dan bent u aansprakelijk. De belangrijkste vraag bij het uitbesteden van IT is: doet deze dienstverlener er alles aan om een datalek te voorkomen? Controleer goed aan wie u de data toevertrouwt.

Zeker richting uw klanten is het raadzaam om de regie te pakken. Niet alleen omdat veel klanten onvoldoende op de hoogte zijn wat ze moeten doen, maar ook om uw organisatie voor te bereiden en dit proces zo efficiënt mogelijk te laten verlopen.

Tip
Ga voor een gratis privacyverklaring naar http://www.veiliginternetten.nl

De Autoriteit Persoonsgegevens (AP) heeft een goede regelhulp ontwikkeld. Deze kunt u starten op https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom
Na het doorlopen kunt u over veel zaken meer duidelijkheid krijgen.


Een andere bruikbare checklist vindt u onderstaand.

Checklist: AVG – gegevensverwerking door werkgevers. Wat te doen vóór 25 mei 2018? 
Met behulp van deze checklist kan worden nagegaan of werkgever voldoet aan de eisen van de AVG.

Datum invullen checklist:
Checklist ingevuld door:

Vooraf: deze checklist ziet op verwerking van persoonsgegevens. In de uitoefening van de bedrijfsvoering waar iedere werkgever mee te maken heeft, is daar sprake van. Aan sommige eisen hoeft alleen te worden voldaan als de gegevensverwerking verder gaat dan de reguliere opslag van gegevens van werknemers. Daartoe moet een inventarisatie worden gemaakt van welke persoonsgegevens worden verzameld en opgeslagen.

Toelichting:

Werkgever is verplicht gegevens van werknemers op te slaan en aan bijvoorbeeld de Belastingdienst te verstrekken. Dit is gegevensverwerking in de zin van de AVG, zodat aan bepaalde eisen moet worden voldaan.

Verwerkt werkgever meer dan de (wettelijk) benodigde persoonsgegevens van werknemers, dan kunnen extra eisen van toepassing zijn. Hiertoe kan een inventarisatie worden gemaakt, die nodig is voor de uitvoering van de volgende stappen in de checklist:

  • Worden bijzondere persoonsgegevens verwerkt?
  • Van wie worden persoonsgegevens verwerkt en zijn deze personen hiervan op de hoogte?
  • Met welk doel worden de persoonsgegevens verwerkt?
  • Wie verwerkt de persoonsgegevens?
  • Worden de persoonsgegevens gedeeld?

Aantekeningen:

1. Is er een gerechtvaardigd doel en een grondslag voor de verwerking van persoonsgegevens?

Toelichting op de vraag:

Het verwerken van persoonsgegevens moet noodzakelijk zijn voor een gerechtvaardigd doel. Dit doel moet uitdrukkelijk zijn omschreven. Tijdens het verzamelen van persoonsgegevens moet steeds worden bekeken of het noodzakelijk is voor het bereiken van dit doel. Eenmaal verzamelde gegevens mogen ook worden gebruikt voor andere doelen, tenzij dit in strijd is met het doel waarvoor ze in eerste instantie zijn verzameld.

Verwerking van persoonsgegevens mag alleen als sprake is van een grondslag die is opgenomen in de AVG. Andere grondslagen kunnen zijn:

  • toestemming van de persoon waarvan persoonsgegevens worden verwerkt;
  • andere wettelijke verplichtingen;
  • dat het noodzakelijk is voor de vervulling van een taak van algemeen belang, dan wel voor een taak in het kader van de uitoefening van het openbaar gezag;
  • behartiging van het gerechtvaardigd belang;
  • behartiging van het vitaal belang.

Het opslaan van gegevens die nodig zijn om aan wettelijke plichten van werkgever te voldoen, heeft dus een grondslag en is ook gerechtvaardigd. Ook het opslaan van bijvoorbeeld bankgegevens om het salaris op te kunnen storten, kent een doel en een grondslag.

Aantekeningen:

2. Is voldaan aan de verplichte uitgangspunten van privacy by design en privacy by default?

Toelichting op de vraag:

De uitgangspunten van privacy by design en privacy by default:

  • bij het ontwerpen van producten en diensten wordt gezorgd voor voldoende bescherming van persoonsgegevens;
  • alleen gegevens worden verzameld die noodzakelijk zijn voor het doel van de verwerking;
  • gegevens worden niet langer bewaard dan nodig;
  • een organisatie moet technische en organisatorische maatregelen nemen om ervoor te zorgen dat alleen persoonsgegevens die voor het specifieke doel dat moet worden bereikt worden verwerkt.

Voor een reguliere werkgever betekent dit dat gegevens van werknemers niet onnodig lang mogen worden bewaard en de gegevens niet voor iedereen inzichtelijk mogen zijn, maar alleen als dit nodig is voor uitoefening van de functie.

Aantekeningen:

3. Moet een gegevensbeschermingsbeleid worden opgesteld?

Toelichting op de vraag:

Een gegevensbeschermingsbeleid is voor een organisatie verplicht als dit in verhouding staat tot de verwerkingsactiviteiten. Hierbij moet rekening worden gehouden met de aard, de omvang, de context en het doel van de werking. Deze vereisten zijn in de AVG niet verder uitgewerkt, maar het komt erop neer dat een gegevensbeschermingsbeleid alleen hoeft te worden opgesteld als er veel en/of belangrijke en gevoelige informatie wordt verwerkt. Voor een bedrijf dat niet werkt met persoonsgegevens zal dit niet het geval zijn.

Als het opstellen van een gegevensbeschermingsbeleid niet verplicht is, dan kan het wel verstandig zijn om dit vrijwillig te doen. Op die manier kan gemakkelijker worden voldaan aan de verantwoordingsplicht.

In het gegevensbeschermingsbeleid moet zijn opgenomen dat werkgever erop toeziet dat iedere verwerking van persoonsgegevens een legitiem doel heeft, dat de verwerking van persoonsgegevens niet verder gaat dan noodzakelijk en dat de persoonsgegevens niet voor een ander doel worden gebruikt. Ook zal werkgever ervoor moeten zorgdragen dat de verwerking rechtmatig geschiedt, bijvoorbeeld met toestemming van werknemer of van de sollicitant of op grond van een wettelijke bepaling of een gerechtvaardigd belang. Deze verplichtingen gelden ook voor de gegevens van derden, zoals klanten en leveranciers van wie werkgever de gegevens verwerkt.

Aantekeningen:

4. Moet een data protection impact assessment (DPIA) worden uitgevoerd?

Toelichting op de vraag:

DPIA is een middel om vooraf overzicht te krijgen van de privacyrisico’s van gegevensverwerking. Vervolgens kunnen de risico’s dan worden verkleind door maatregelen te nemen.

In sommige gevallen moet verplicht een DPIA worden uitgevoerd. Als een grote kans aanwezig is dat de gegevensverwerking een groot privacyrisico oplevert voor de mensen van wie een organisatie gegevens verwerkt, dan is een DPIA verplicht. Dit is het geval voor een organisatie die:

  • systematisch en uitgebreid persoonlijke aspecten toetst, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld aan de hand van cameratoezicht).

Het is ook mogelijk vrijwillig een DPIA uit te voeren ter bevordering van de gegevensbescherming. Een reguliere werkgever waarvan de bedrijfsactiviteiten zich niet op verwerking van persoonsgegevens richten, zal geen DPIA hoeven uitvoeren.

Aantekeningen:

5. Moet een register van verwerkingsactiviteiten worden opgesteld?

Toelichting op de vraag:

Heeft werkgever een organisatie meer dan 250 werknemers, dan is een verwerkingsactiviteitenregister verplicht.
Heeft werkgever een organisatie minder dan 250 werknemers, dan is een organisatie alleen verplicht zo’n register bij te houden als persoonsgegevens worden verwerkt:

  • waarvan de verwerking niet incidenteel is;
  • die een risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens worden verwerkt; en/of
  • die vallen onder de categorie bijzondere persoonsgegevens.

Als het uitvoeren van een register van verwerkingsactiviteiten niet verplicht is, dan kan het wel verstandig zijn om dit vrijwillig te doen. Op die manier kan gemakkelijker worden voldaan aan de verantwoordingsplicht.

In het register van verwerkingsactiviteiten wordt informatie vastgelegd over persoonsgegevens die door de organisatie worden verwerkt. Afhankelijk van de omvang van de organisatie en het type gegevens is het register van verwerkingsactiviteiten verplicht.

Aantekeningen:

6. Moet een Functionaris Gegevensbescherming (FG) worden aangesteld?

Toelichting op de vraag:

Een FG houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie.

In sommige gevallen moet verplicht een FG worden aangesteld die toezicht houdt op de gegevensverwerkingen. Dit is het geval voor:

  • overheidsinstanties en publieke organisaties;
  • organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;
  • organisaties die bijzondere persoonsgegevens verwerken en dit een kernactiviteit is;

Als geen verplichting bestaat om een FG aan te stellen, dan mogen organisaties deze ook vrijwillig aanstellen. Een reguliere werkgever zal niet verplicht zijn een FG aan te stellen, tenzij de werkzaamheden verwerking van persoonsgegevens omvatten.

Aantekeningen:

7. Moet een verwerkingsovereenkomst worden gesloten met de verwerker of is hier geen sprake van?

Toelichting op de vraag:

Als een organisatie de gegevensverwerking heeft uitbesteed aan een verwerker dan is een verwerkingsovereenkomst verplicht. Een verwerker is bijvoorbeeld een accountantskantoor of een andere derde die voor bepaalde werkzaamheden wordt ingezet. Voor veel werkgevers zal het dus een plicht zijn verwerkingsovereenkomsten op te stellen.

De volgende onderwerpen moeten in de overeenkomst zijn geregeld:

  • algemene beschrijving;
  • instructies verwerking;
  • geheimhoudingsplicht;
  • beveiliging;
  • subverwerkers;
  • privacyrechten;
  • andere verplichtingen;
  • gegevens verwijderen;
  • audits.

Aantekeningen:

8. Weet iedereen die binnen de organisatie met persoonsgegevens werkt wat te doen als een datalek optreedt?

Toelichting op de vraag:

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Hiervan is sprake als gegevens ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Ook als persoonsgegevens verloren zijn gegaan (bijvoorbeeld door brand) is sprake van een datalek.

Let op: als sprake is van een datalek dan moet deze in beginsel zo spoedig mogelijk en in ieder geval binnen 72 uur na het bekend worden met het datalek worden gemeld aan de Autoriteit Persoonsgegevens. Dit hoeft niet als het datalek geen risico oplevert voor de rechten en vrijheden van de betrokkenen. In sommige gevallen moet het datalek ook worden gemeld aan de persoon van wie persoonsgegevens zijn gelekt.

Aantekeningen:

9. Is een register opgesteld voor het geval een datalek optreedt?

Toelichting op de vraag:

Alle datalekken binnen de organisatie moeten worden vastgelegd in een register. Hierin moet worden vastgelegd:

  • welk soort gegevens het betreft;
  • een omschrijving van het datalek;
  • wanneer het datalek plaats vond;
  • wat er met de persoonsgegevens is gebeurd;
  • van welke (groep) personen gegevens gelekt zijn.

Aantekeningen: