AVG : Al Verantwoording Gereed?

In ons derde blogbericht over de AVG voorbereiding gaan we het hebben over de principes die onder andere het aantonen van beveiliging en compliance bij de verantwoordelijke neerleggen. Een deel hiervan hebben we in de vorige blog al verzorgd door middel van een goede privacyverklaring voor de verwerking van persoonsgegevens.

Bob ten Vergert

BobTest Engineer | Security & Privacy Officer

5c78259493660avg_verantwoording.jpg

Het draait echter niet alleen om transparantie en de persoonsgegevens van klanten, maar ook om persoonsgegevens van je werknemers; om intern beleid dat veiligheid voorop zet; om de documentatieplicht; om de meldplicht; om Privacy by Design en by Default zowel als de FG en PIA’s.

Zijn deze termen nieuw? Lees dan onze allereerste AVG blog over scope, consequenties en jargon.

Om succesvol aan te kunnen tonen dat je bedrijf passende technische en organisatorische beveiligingsmaatregelen heeft genomen en aan alle rechten & plichten heeft gedacht introduceer (of update) je het privacybeleid. Vandaag gaan we de voorbereiding van ons eigen beleid bekijken. Ik vertel wat mag, wat moet én waarom men dit doet.

Het interne privacybeleid

Het hoofdzakelijke doel van het privacybeleid is het verzorgen en aantoonbaar maken dat persoonsgegevens in overeenstemming met de toepasselijke wet- en regelgeving worden verwerkt.

Voor een toereikend intern privacybeleid moet je in ieder geval de volgende zaken opgenomen hebben:

  • dat de principes van de AVG worden toegepast op persoonsgegevensverwerking;

  • dat passende technische en organisatorische maatregelen zijn genomen;

  • dat je al je verwerkingsactiviteiten in een register overzichtelijk hebt;

  • dat Privacy by Design meegenomen wordt in elk project en/of product;

  • dat Privacy by Default meegenomen wordt in elk project en/of product;

  • dat waar nodig een PIA/ DPIA wordt uitgevoerd;

  • dat je datalekken registreert en naderhand de juiste stappen zet;

  • wie verantwoordelijkheid draagt voor de bovenstaande taken/ plichten;

  • wie wanneer controleert of de bovenstaande taken/ plichten voldaan worden.

Vrije vormgeving

Er zijn geen regels of richtlijnen voor het indelen van je privacybeleid, enkel dat je moet kunnen laten zien dat jouw organisatie het bovenstaande goed op orde heeft.

In verband met het vrije karakter van het privacybeleid en de keuzes die bedrijven zelf kunnen maken om aan te tonen dat ze compliant zijn, is er niet één aangewezen template of goede uitvoering maar zijn er honderden mogelijkheden. Er is namelijk geen lijst met technische of organisatorische maatregelen die men moet of kan toepassen, en men kan van mening verschillen over wat wel of niet aantoont dat een bedrijf voldoet aan een bepaalde eis.

Daarbij zijn de te nemen stappen naar compliance voor het ene bedrijf heel anders dan bij het andere. Bekijk bijvoorbeeld eens de inhoudsopgave van ons privacybeleid:

5c6ea06d9c9e1avg-blog-2-1.png

I. Scope

Hier vertel ik dat het beleid geldt voor al onze werknemers, stagiaires, freelancers en andere relaties. Daarnaast vertel ik ook wat we willen bereiken door dit beleid in te voeren en na te leven. Het kan zijn dat bepaald beleid enkel geldt voor een afdeling of dochterorganisatie van je bedrijf. Specificeer de exacte dekking van het document.

II. Principes

De basisprincipes van de AVG bestaan uit 7 onderdelen die de verwerking van persoonsgegevens aan strenge banden legt:

Transparantie : Men is op de hoogte van de verwerking van hun persoonsgegevens, heeft hier toestemming voor gegeven en kent zijn/haar rechten.

Doelbeperking : Ingezamelde gegevens mogen enkel en alleen voor een vooraf bepaald doel gebruikt worden.

Gegevensbeperking : Er mogen niet meer persoonsgegevens verzameld worden dan strikt noodzakelijk voor het vooraf bepaalde doel.

Bewaarbeperking : Persoonsgegevens mogen niet langer bewaard worden dan (wettelijk) nodig is voor het vooraf bepaalde doel. Ook dit wordt gedekt in een verwerkersovereenkomst;

Juistheid : Persoonsgegevens moeten correct zijn, en blijven.

Integriteit & Vertrouwelijkheid : Persoonsgegevens moeten (passend) beschermd worden tegen toegang, verlies en/of vernietiging.

Verantwoordingsplicht : Verwerkingsverantwoordelijken moeten aan kunnen tonen dat ze aan toepasselijke wet- en regelgeving voldoen.

In eigen woorden meld ik dat we de bovenstaande principes voor zover mogelijk toepassen op alle verwerkingen van persoonsgegevens. Daarmee heb je alleen niet alle principes toereikend gedekt. Hoe toon je passende bescherming aan? Hoe toon je verantwoording aan?

III. Verantwoording

In dit onderdeel leg ik kort uit wie welke verantwoording draagt met betrekking tot de uitvoering en naleving van het privacybeleid. Dit verschilt natuurlijk per organisatie, echter is de directeur overal en altijd eindverantwoordelijke.

We hebben bijvoorbeeld het naleven van Privacy by Design en Privacy by Default per project als verantwoordelijkheid van de projectmanager aangekaart. Het is de verantwoordelijkheid van de Office Manager om dit te controleren, en daarop weer de verantwoordelijkheid van de directeur dat alles daadwerkelijk wordt gedaan.

Passende maatregelen

Dit kan voor velen een vervelende vereiste zijn aangezien het een nogal vage verplichting is. Hoe weet je nou of een maatregel passend is volgens de AVG? Heel concreet, dat is niet te weten. Er is momenteel niet duidelijk wat precies van verwerkingsverantwoordelijken verwacht wordt. Dit soort vraagstukken zullen pas beantwoord worden nadat er rechtspraak is gedaan over dit soort zaken.

De afweging of een maatregel passend is moet in het begin zelf gemaakt worden. De maatregel moet passend zijn voor ‘een op het risico afgestemd beveiligingsniveau’.

Stel; er worden NAW (Naam, Adres, Woonplaats) gegevens opgeslagen in de database van je website, platform of app. Hier kunnen alleen bepaalde werknemers bij door in te loggen met 2-Factor-Authentication en alle communicatie tussen server en database is SFTP. Dan kan je redelijkerwijs stellen dat deze gegevens veilig zijn ten opzichte van het risico en de consequenties voor de privacy van de betrokkene.

Stel; er worden NAW gegevens + seksuele voorkeur of politieke overtuiging opgeslagen in eenzelfde soort database. Hier kan ingelogd worden met de info@ mail-account van het bedrijf waar zowel werknemers als stagiaires het wachtwoord van hebben en data communicatie is niet encrypted. Nu wordt het een stuk lastiger om te verdedigen dat deze gegevens toereikend beveiligd zijn, helemaal ten opzichte van de eventuele consequenties voor de betrokkene mocht er een datalek plaatsvinden.

Artikelen

Onder de kop artikelen benoem ik de getroffen maatregelen met betrekking tot verschillende onderwerpen. Dit zal ook voor elk bedrijf anders zijn in verband met sterk variërende werkzaamheden, persoonsgegevens, categorieën ervan en bijvoorbeeld ook de grootte van de organisatie.

Door duidelijke afspraken te maken over toegang tot platformen waar persoonsgegevens in verwerkt worden durven wij te stellen dat deze data passend beveiligd is. Mede door een persoonlijke inlog, 2-Factor-Authentication, normen over wachtwoorden en beveiligd data verkeer.

Zo behandel je alle plekken, apparaten, mensen, diensten, platformen en netwerken waar persoonsgegevens in verwerkt worden, bij gebruikt worden of zichtbaar zijn. Door voor het bovenstaande regels op te stellen kan je aantonen dat er nagedacht is over de beveiliging en de privacy van betrokkenen.

Het is belangrijk dat je een goed idee hebt van de verplichtingen onder de AVG zodat alle benodigde onderdelen in je privacybeleid opgenomen worden. Bij een zorginstantie waar bijvoorbeeld veel medewerkers toegang hebben tot allerlei bijzondere persoonsgegevens zullen er veel strengere maatregelen genomen moeten worden.

Controleer of alles wat onder de verantwoordingsplicht valt is opgenomen en je bent in het bezit van een passend privacybeleid. Let op dat het opstellen van een privacybeleid en het invoeren hiervan twee compleet verschillende en grote taken zijn.

Succes!