AVG : Al Voorbereidingen Getroffen?

Je hebt ondertussen misschien al iets gehoord over de AVG, de Algemene Verordening Gegevensbescherming, en bent oriënterend op ons artikel gestuit. Zowel jij, als wij, als vele andere organisaties, zullen ons goed moeten voorbereiden op de komende consequenties.

Bob ten Vergert

BobTest Engineer | Security & Privacy Officer

5d2d9a993c119Webp.net-resizeimage-2-1.jpg

Wet- en regelgeving lopen al jaren achter op technologische ontwikkelingen en digitalisering, waardoor het grondrecht op privacy niet meer nageleefd werd. Met deze nieuwe verordening wil de EU een inhaalslag maken en toekomstbestendig beleid bewerkstelligen.

##Wij nemen je mee door de AVG

Bij Cube zijn we druk bezig een AVG-bestendig beleid leven in te blazen. Met een gemixt intern team is het o.a. mijn taak om onze organisatie en klanten klaar te stomen voor wat er gaat komen.

Nou bevat ons technische team geen wonder der wetgeving, wat de vaag verwoorde verordening soms vervelend te interpreteren maakt. De AVG mag dan verplichten dat de verwoording van je privacyverklaring in eenvoudige taal geschreven wordt, de verordening zelf is dat niet.

De richtlijn telt ongeveer 100 pagina’s, maar met alle referenties en doorverwijzingen komt het meer in de buurt van 6000.

Daarom hebben we besloten zowel onze verzameling feiten als de voltallige voorbereiding op de AVG om te zetten tot informatieve blogberichten. Zo snappen we straks allemaal hoe de wetgeving werkt en leren we alles beter te beheren.

De fundering van de verordening

De grondslag voor de gegevensbescherming ligt bij de betrokkene, een natuurlijk persoon en burger van de EU. Deze eigenaar van persoonsgegevens kan straks veel meer invloed uitoefenen op de verwerker van deze gegevens. Deze verwerker moet aan een scala kersverse verplichtingen voldoen én de financiële gevolgen van falen in deze voorziening zijn flink verhoogd.

Voor een kraakhelder kader van de nieuwe privacywetgeving moet je eerst kennismaken met de spelers. De volgende drie rollen zijn de rode draad van de verordening waar alle rechten en plichten naar terug te leiden zijn;

De betrokkene is de natuurlijke persoon die direct of indirect kan worden geïdentificeerd, degene die de persoonsgegevens betreffen. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor het verwerken van de persoonsgegevens bepaalt. De verwerker is de partij die de persoonsgegevens verwerkt namens de verantwoordelijke.

De belangrijkste gevolgen en veranderingen van deze wetswijziging staan in een overzichtelijke opsomming klaar voor consumptie. Wil je meer weten over een specifieke stelling dan bevatten de meesten een verdiepend linkje voor de lustige lezers.

5c6e9deb78cd1avg-blog-1.png

De AVG; kort en krachtig

1. Het begrip persoonsgegevens wordt flink uitgebreid waardoor activiteiten veel sneller onder de nieuwe privacywet vallen.

2. Privacyverklaringen moeten transparanter en gedetailleerder aangeboden worden. In eenvoudige taal moet er uitgelegd worden waar je persoonlijke gegevens voor verzamelt, op grond van welk recht ze verwerkt worden en hoe lang en waar ze opgeslagen worden.

3. Alle datalekken moeten geregistreerd worden, óók de lekken die niet gemeld hoeven te worden. Er is al sprake van een datalek wanneer bijv. een onbevoegd persoon bepaalde persoonsgegevens te zien krijgt.

4. Alle verwerking van persoonsgegevens moet worden bijgehouden in een register. Dit geldt óók voor onbeduidende informatie als personeelsadministratie of de nieuwsbrief mailinglijst.

5. Met alle leveranciers en afnemers, waar in persoonsgegevens mee gecommuniceerd wordt, moet een verwerkersovereenkomst worden afgesloten. Hierin staan afspraken over omgang met, en beveiliging van, persoonsgegevens.

6. Wanneer er niet wordt voldaan aan de eisen van de nieuwe AVG-wetgeving kunnen er enorme boetes worden uitgeschreven, oplopend tot 20 miljoen of 4% van de mondiale jaarlijkse omzet van een bedrijf.

7. Als je grote hoeveelheden persoonsgegevens verwerkt of systematisch mensen observeert, ben je verplicht een Functionaris Gegevensbescherming (FG) aan te stellen.

8. Zelfs wanneer je geen FG hoeft aan te stellen is het een goed idee om iemand verantwoordelijk te maken voor het naleven van de privacy wetgeving. Wij hebben zelfs voor meerdere mensen gekozen.

9. Wanneer er mogelijk risico’s komen kijken bij het verwerken van persoonsgegevens wordt het straks verplicht om vóór deze verwerking een Privacy Impact Assessment (PIA) uit te voeren.

10. Dataminimalisatie staat centraal in de AVG, wat betekent dat straks enkel de meest broodnodige gegevens verzamelt en bewaard mogen worden. Wanneer het doel met minder persoonsgegevens behaald kan worden ben je verplicht dit te doen.

11. Daarbij mag er straks geen enkel persoonsgegeven nog langer opgeslagen worden dan nodig. Zodra het doel behaald is moet het benodigde gegeven verwijderd worden. ( M.u.v. bepaalde gegevens voor de belastingwet )

12. Elk product, alle software en diensten moeten straks vanaf de eerste dag van productie rekening houden met privacy. Dit heet ‘Privacy by design’. Bij elke stap moeten privacy aspecten benoemd worden en meegenomen worden in de uitwerking.

13. Elk product, alle software en diensten moeten straks op de dag van release standaard zo ingesteld staan dat de privacy van de betrokkene zo goed mogelijk wordt gewaarborgd. Dit heet ‘Privacy by default’.

14. Een privacybeleid dat de maximale beveiliging van persoonsgegevens verzekerd helpt je organisatie met het aantonen van AVG compliance. Denk aan het limiteren van toegang, het beveiligen van communicatie en het informeren van je werknemers.

15. Goede beveiliging van persoonsgegevens wordt een verplichting; waarbij zaken als data versleuteling, two-factor-authentication en de infrastructuur om veilig gegevens te kunnen bewerken, scheiden en wissen geen overbodige luxe zijn.

16. Die infrastructuur is namelijk ook belangrijk om te kunnen voldoen aan verzoeken van betrokkenen. Zij mogen namelijk alle, aan hen, gerelateerde data opvragen, wissen en bewerken. Een organisatie is verplicht binnen 4 weken schriftelijk of per e-mail te reageren op een inzageverzoek en deze binnen redelijke termijn af te handelen.

17. Kunnen betrokkenen bij een online dienst persoonlijke informatie opslaan? Dan dient er een optie te zijn waarbij men alle informatie kan exporteren in een standaardformaat, om over te dragen aan een andere organisatie. Het recht op dataportabiliteit.

18. Buitenlandse partijen mogen zonder strikte regelgeving en goedkeuring van de Europese Commissie geen persoonsgegevens van Europese burgers meer verwerken. Er zijn een aantal goedgekeurde landen met een passend beschermingsniveau.

19. Worden er interesseprofielen of risicoanalyses van klanten en/of bezoekers gemaakt? Dan ben je verplicht hen, in je privacy statement, precies uit te leggen hoe dit gebeurt en waarvoor. Dit geldt voor alle mogelijke verwerkingen van persoonsgegevens.

20. Verzamel je bijzondere persoonsgegevens? Hiervoor gelden nog véél strengere regels. Je zou hierbij kunnen denken aan bepaalde medische en biometrische gegevens. Naast direct identificeerbaar kan je stellen dat alles waarop gediscrimineerd kan worden valt onder bijzondere persoonsgegevens.

Zoals je hebt gezien is het niet niks wat er geïmplementeerd wordt en gaat dit vergaande gevolgen hebben voor organisaties van alle varianten. Een onderzoek van Compuware laat zien dat bijna 70% van bedrijven verre van voorbereid zijn op de AVG, en dat 45% zelfs amper van de richtlijn gehoord heeft.

Houd een oogje op Cube voor het volgende bericht over onze AVG voorbereiding. Met een vraag blijven zitten naar aanleiding van mijn bericht? Onze contactgegevens kan je hier vinden.

Bon chance!