Laatste nieuws
 
 
  Achtergrondartikelen  


Nieuwe wetgeving: ingrijpend en verstrekkend, maar:

De General Data Protection Regulation (GDPR) is Europese wetgeving die de privacy van persoonsgegevens van Europese burgers beschermt en eisen stelt aan onder andere de verwerking van deze data. In Nederland is deze bekend als de Algemene Verordening Gegevensbescherming AVG). Deze is vanaf mei 2016 eigenlijk al van kracht, maar er is een overgangsperiode ingesteld die duurt tot 25 mei 2018. Tot die datum hebben bedrijven en organisaties de tijd om hun zaakjes op orde te brengen. Daarna wordt er daadwerkelijk gehandhaafd. De AVG heeft alleen al door zijn verschijningsvorm meer impact dan zijn voorganger. Het lijkt erop alsof de AVG de nieuwe ‘millenium bug’ is: rampspoed voor alles en iedereen die zich niet tijdig aanpast aan de AVG. Maar hoe groot is het gevaar daadwerkelijk en wat kunt u doen om wél te voldoen aan die strenge privacywetgeving?

Door de redactie

Het betreft hier namelijk een verordening en dat houdt in dat de nu nog 28 lidstaten van de EU de wet móeten invoeren én handhaven. Het betekent ook dat de bepalingen in de verordening rechtstreeks van toepassing zijn op álle lidstaten en dat lidstaten zelf geen nationale privacywetgeving meer nodig hebben. De verordening is bovendien een minimumeis en geeft de lidstaten slechts de ruimte om eigen aanvullende bepalingen te definiëren. Daar komt nog bij dat de boetes die kunnen worden opgelegd enorm kunnen oplopen.

Het kan om serieus geld gaan
De maximale geldboete onder de Wbp, 820.000 euro, stelt weinig voor in vergelijking met de maximale geldboete onder de AVG. Organisaties die verzuimen zich aan de bepalingen in de AVG te houden riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet in het afgelopen boekjaar; het hoogste bedrag telt. En dan gaat het ineens om serieus geld. Een betere trigger om te willen voldoen aan deze wetgeving kun je bijna niet verzinnen...
Nu krijg je natuurlijk niet zomaar een boete van die orde. Een organisatie kan deze boete echter wel verwachten bij het overtreden van bepaalde artikelen én bij het negeren van een bevel van de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens. Een lagere categorie geldboetes is van toepassing bij minder ernstige overtredingen, maar kan alsnog oplopen tot zo’n 10 miljoen euro of 2% van de wereldwijde jaaromzet. Ook hier wordt uitgegaan van het hoogste bedrag. Maar dat is niet de enige schade. Denk eens aan de imagoschade die een organisatie kan lijden in geval bekend wordt dat zij haar zaakjes niet op orde heeft met betrekking tot de persoonlijke – en dus gevoelige - gegevens van haar klanten en relaties. Consumenten kunnen daardoor het vertrouwen in een organisatie kwijtraken en de relatie beëindigen. Het gevolg voor grote concerns kan zelfs zijn dat de beurskoers onderuit gaat. Einde oefening…

Aan de slag
Dat de gevolgen van de AVG voor een organisatie groot kunnen zijn, staat dus als een paal boven water. Ongeacht de sector of de omvang van de organisatie. Betekent dat dat alle inspanningen om data te verzamelen, te analyseren, te verrijken, op te slaan, te verwerken of verkopen nu verleden tijd zijn? Zeker niet, maar u moet wel tekst en uitleg kunnen geven over uw het hoe, wat en waarom van uw handelen. Aan de slag dus…
Er moeten binnen de organisatie mensen en middelen beschikbaar komen om in kaart te brengen in hoeverre wordt voldaan aan de AVG: welke persoonsgegevens hebben we, wat doen we ermee, waarom hebben we die gegevens nodig, waar liggen de hiaten, waar ontbreekt beleid, wat zijn de risico’s? Dat kost geld. Maar u kunt het ook omdraaien. Door nu, om op tijd te kunnen voldoen aan de AVG, een degelijke analyse te maken van de complete datahuishouding snijdt het mes aan twee kanten. In de eerste plaats voldoet uw organisatie aan de AVG; u kunt met een gerust hart zaken blijven doen en klantgericht te werk blijven gaan. Mochten er risico’s zijn in het kader van de nieuwe wetgeving dan kent u deze en weet uw organisatie hoe ze moet handelen in het geval van een datalek bijvoorbeeld. In de tweede plaats is deze exercitie een uitstekende mogelijkheid om het databeheer in het algemeen een stevige impuls te geven, doordat u inzicht krijgt in de waarde van data, de verantwoordelijkheid voor verschillende datasets en de retentieschema’s van data. Op die manier is uw organisatie in staat daadwerkelijk te focussen op waardevolle data en wordt een einde gemaakt aan al die ‘Dark Data’ die u net als veel andere organisaties ongetwijfeld heeft. Alleen u weet het niet (meer). Vandaar de term Dark Data…

Verplichtingen
De wet is al van kracht, maar per 25 mei 2018 is dus de Algemene Verordening Gegevensbescherming officieel van toepassing als opvolger van de wet Bescherming Persoonsgegevens. En wordt die ook als zodanig gehandhaafd! De wet Bescherming Persoonsgegevens zoals we die in Nederland kennen, geldt dan niet meer. Er zitten twee kanten aan de invoering van de AVG. Er is een kant die de gegevensbewerkers betreft en er is een kant die de eigenaren van de persoonsgegevens betreft. Voor organisaties die persoonsgegevens verwerken geldt na de invoering van de AVG dat zij meer verplichtingen en verantwoordelijkheden hebben. Er wordt in de AVG bijvoorbeeld meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).
Het is als bij de Belastingdienst: in geval van enige twijfel rond een mogelijke overtreding, is het aan u om aan te tonen dat u wél juist gehandeld heeft. Dat lukt uiteraard alleen goed als binnen de organisatie de documentatie rondom de gegevensverwerking en daarvan afgeleide processen op orde is.
Dat is de documentatieplicht die is gekoppeld aan de AVG: alles dient te worden beschreven en vastgelegd om tijdens de gegevensverwerking – maar ook achteraf – te kunnen controleren of men zich aan de wet heeft gehouden en dat men de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.



Wet naleven
De AVG biedt organisaties tegelijkertijd allerlei instrumenten die hen helpen om de wet na te leven. De Bewerkersovereenkomst is zo’n instrument. Wanneer sprake is van externe partijen die een overeenkomst over werkzaamheden m.b.t. gegevensbewerking met elkaar aangaan, wordt een zogenaamde Bewerkersovereenkomst verplicht gesteld. De Autoriteit Persoonsgegevens heeft daarvoor een modelovereenkomst samengesteld die partijen helpt duidelijke afspraken te maken (en vast te leggen) waar betrokkenen in geval van externe dienstverlening zich aan moeten houden. Daarin worden kort en goed alle afspraken tussen partijen over (aard van de) gegevens, processen en handelingen rondom de gegevensbewerking vastgelegd, met daarbij aangegeven wie welke verantwoordelijkheden heeft. De gegevensverwerker kan aantonen dat hij op correcte wijze met de gegevens van zijn klant (de afnemer van de producten of diensten) omgaat en dat er aantoonbaar geen sprake is van misbruik van vertrouwen. Ook dat is dus eigenlijk niet anders dan bij de Belastingdienst: de accountant (de dienstverlener) kan uw aangifte invullen, maar het is en blijft wel uw aangifte met uw gegevens en u moet in ieder geval de juiste gegevens aanleveren, zodat hij zijn werk goed kan doen. In dit geval moet de dienstverlener ervoor zorgen dat inzichtelijk is wat hij doet, hoe hij het doet en wat de resultaten zijn.

Concrete veranderingen
Er zijn belangrijke veranderingen die met de AVG van kracht worden. Dat zijn onder meer de volgende: 1. Voor organisaties die gegevens bewerken, geldt dan niet langer de meldplicht bij de Autoriteit Persoonsgegevens dat zij dat doen. Let wel op: dit is niet hetzelfde als het niet hoeven melden van datalekken! Die meldplicht is onverkort van kracht.
2. Voor met name de overheid en de aan de overheid gerelateerde organisaties geldt dat zij een Privacy Impact Assessment (PIA) moeten laten uitvoeren. Dit is een instrument om vooraf de privacy risico’s van gegevensverwerking te kunnen inschatten. Die PIA is niet altijd en overal verplicht, maar in ieder geval wel als volgens verwachting een hoger risico voor de betrokkenen is verbonden aan de verwerking van die specifieke persoonsgegevens. Er bestaat een lijst met criteria die maatgevend zijn voor de risicobepaling van gegevensverwerking en de Autoriteit Persoonsgegevens komt binnenkort met een overzicht van vormen van gegevensverwerking waarvoor een PIA verplicht is.
3. Er kan ook sprake zijn van de verplichting om een specifieke functionaris voor gegevensverwerking aan te stellen: zoals een Data Privacy Officer. Deze houdt zich expliciet bezig met het toezicht op alle processen, protocollen en afspraken rondom de gegevensverwerking. Er wordt daarbij onderscheid emaakt tussen grotere en kleinere organisaties. Deze verplichting geldt vooral voor grotere organisaties die gegevens bijhouden van tenminste 250 personen. Voor kleinere organisaties geldt die verplichting niet, dan wordt rekening gehouden met hun grootte voor wat het bijhouden van registers betreft.

Eigenaar gegevens krijgt meer rechten:
Voor de eigenaren van de persoonsgegevens verandert ook een en ander. Deze mensen krijgen meer mogelijkheden om zich te beschermen tegen ongewenst gebruik van hun gegevens:
1. Er geldt binnen de AVG-wetgeving bijvoorbeeld in een aantal gevallen een expliciete verplichting voor het verkrijgen van toestemming van de eigenaar om specifieke gegevens te mogen verwerken. Die toestemming is bovendien gebonden aan allerlei voorwaarden.
2. Het intrekken van die toestemming moet ook weer eenvoudig kunnen plaatsvinden. Er mag de eigenaar van de persoonsgegevens daarbij niets in de weg gelegd worden.
3. Het recht op verwijdering van gegevens bestond al, maar de AVG gaat nog een stapje verder. De eigenaar kan eisen van een organisatie dat ook alle aan haar gerelateerde organisaties die gebruik maken van de (bewerkte) gegevens, of deze hebben ontvangen, die gegevens ook verwijderen.
4. Het recht op dataportabiliteit betekent dat de eigenaar het recht krijgt – onder bepaalde voorwaarden – dat de data in een bepaald formaat aan hem worden aangeleverd, zodat deze te hergebruiken zijn door de eigenaar zelf.

Wat betekenen al deze maatregelen en verplichtingen?
Het betekent dat u als organisatie te allen tijde grip moet hebben en houden op alle persoonsgebonden informatie die u in uw organisatie heeft. Daarvoor moet u daadwerkelijk weten wat er is, anders kunt u het immers ook niet beschermen of juist verwijderen als er om wordt gevraagd en kunt u dus ook niet voldoen aan deze nieuwe wet- en regelgeving. U moet weten waar bepaalde data zich bevindt, of en hoe die data mogelijk de organisatie verlaat (bijvoorbeeld doordat uw werknemers regelmatig mobiel zijn en vanaf een andere werkplek dan de beschermde kantooromgeving werken). Last but not least, u moet controleren of de gegevens die u heeft, nog steeds nodig zijn voor het doel wat u daarmee voor ogen had. Dat moet u bovendien kunnen uitleggen en aantonen, anders moet de data worden erwijderd. Dat is in de kern waar de AVG over gaat: weten wat er is, waar het is en waarvoor het nodig is. Dat is dus cruciaal om te kunnen voldoen aan de wet- en regelgeving.

Optimaal profiteren
Er moet in de meeste gevallen serieus werk van worden gemaakt om compliant te zijn wanneer de AVG in 2018 in werking treedt. Dat kost tijd en geld, maar wie het goed aanpakt en stap voor stap alles  doorloopt, is tegelijkertijd verzekerd van efficiënt én compliant data management waarvan u optimaal kunt profiteren. Het gaat echter niet vanzelf. Deze veranderingen hebben een forse impact op de organisatie. Daarvoor is kennis en expertise nodig die misschien niet in huis is. Het is daarom raadzaam tijdig externe expertise in te schakelen om te voorkomen dat bestaande activiteiten onder druk komen te staan. Beter vooraf wat meer tijd en geld investeren, dan achteraf tot de ontdekking komen dat het toch nog net niet helemaal waterdicht is of dat u inmiddels al heel wat business bent kwijtgeraakt.

Organisatie afstemmen op de AVG
Gezien het feit er veel acties dienen te worden ondernomen om uw organisatie te kunnen afstemmen op de AVG, is het raadzaam een en ander gestructureerd aan te pakken. De volgorde van activiteiten kan namelijk best van belang zijn. Stap voor stap geeft vaak het beste resultaat en u houdt daarbij beter overzicht.

1: Inventariseren
De eerste stap bestaat uit het maken van een inventarisatie van alle persoonsgebonden gegevens die binnen uw organisatie worden gebruikt. Daarmee krijgt u een beeld van wat er is en waar de risico’s liggen. Deze analyse gebeurt meestal door middel van een uitbereide vragenlijst, aan de hand van wat de AVG precies inhoudt op specifieke aspecten rondom persoonsgebonden gegevens. U weet na deze  inventarisatie waar de hiaten zitten en kunt vervolgens door naar stap 2.

2: Plannen
Het is verstandig om een planning met tijdpad te maken met daarin de stip op de horizon waar u naartoe wilt en in welk tijdsbestek. Stel heldere doelen en een realistische planning, ofschoon er nu wel een keiharde deadline bestaat. Heldere doelen en een goede planning scheppen duidelijkheid voor alle betrokkenen, zowel binnen als buiten uw organisatie en dat zal uiteindelijk tijd sparen. Wat betreft de betrokkenen: het feit dat uw organisatie geregeld in contact dient te treden met alle betrokkenen is een belangrijk aandachtspunt in de planning. Dit is voor veel organisaties nieuw. Parallel in deze fase loopt het proces om een visie te formuleren. Een visie die als leidraad dient voor de gehele organisatie op dit thema. Die visie is immers gekoppeld aan de doelen en de weg daar naar toe.

3: Veranderen
Strenge straffen voor de organisatie als geheel in het vooruitzicht stellen is in de meeste gevallen niet de beste manier om alle medewerkers spontaan mee te krijgen op weg naar compliancy voor de AVG. Het besef moet veel dieper doordringen: het denken over privacy en over het veilig, betrouwbaar en verantwoordelijk verwerken van persoonsgegevens moet deel gaan uitmaken van de dagelijkse werkzaamheden. Er moet bewustzijn gekweekt worden op alle niveaus binnen de organisatie. Dat zal echt niet altijd meevallen, zoals de meeste veranderingen binnen een organisatie niet van een leien dakje gaan. Veranderen is altijd lastig en zeker bij dergelijke belangrijke zaken moet iedereen zich bewust zijn/worden van het belang. En dat kost nu eenmaal tijd. Op projectmatige basis worden vervolgens de hiaten die uit de analyse naar voren komen gedicht. Dit verschilt dus per organisatie. Er zal tijd moeten worden besteed aan het implementeren van de nieuwverworven rechten van betrokkenen, zoals het recht om vergeten te worden - toch wel het ingrijpendste recht als het gaat om de uitvoering.
Maar denk ook aan het aanbrengen van verschillende databeveiligingsniveaus. Als onderdeel daarvan zullen data bijvoorbeeld geanonimiseerd moeten worden. Een ander project is het nalopen van contracten met leveranciers. Zijn er leveranciers waarmee een zogenaamde verwerkersovereenkomst afgesloten dient te worden? Zoals ook uit vorenstaand duidelijk is geworden, het is al snel noodzakelijk om een Functionaris Gegevensbeveiliging (Data Privacy Officer, DPO) aan te stellen. In dit stadium moet duidelijk worden wie welke opleidingen moeten gaan volgen, zodat op de juiste plaatsen in de organisatie - aantoonbaar - de vereiste kennis en deskundigheid aanwezig is.

4: Gebruiken
U heeft de projecten geïmplementeerd en de veranderingen die u in gang heeft gezet worden verankerd in de organisatie. Nieuw beleid en nieuwe processen worden uitgevoerd, en dat alles onder toezicht van de Functionaris Gegevensbeveiliging. Om het juiste gebruik te blijven garanderen is het raadzaam medewerkers te ondersteunen met coaching. Dat geldt ook voor alle nieuwe projecten, producten en diensten: het belang van de Privacy Impact Analyses (PIA) moet voor iedereen helder zijn. Waar liggen de risico’s, wat kunnen we doen om ze te voorkomen en hoe gaan we als organisatie hiermee om?

5: Auditen
Aansluitend op stap 4: om blijvend te kunnen voldoen aan wet- en regelgeving dient in de laatste stap het auditen en bewaken van afspraken een vast onderdeel van de (periodieke) praktijk te worden. Dat is een van de kerntaken van de Functionaris Gegevensbeveiliging. Deze houdt toezicht en blijft te allen tijde in control. Zorg er tevens voor dat medewerkers de beveiliging van persoonsgebonden gegevens blijvend als een belangrijk onderdeel in hun werk zien. Voor elke nieuwe medewerker is het van belang direct in te stappen met de juiste ‘mindset’.

Welke garanties heeft u dat uw gegevens juist worden verwerkt?
Het mag duidelijk zijn dat het uiterst complexe materie is om zorgvuldig om te (kunnen) gaan met gegevens, processen en procedures rondom gevoelige persoonlijke informatie. Veel organisaties willen om die reden dat liever uitbesteden aan specialisten. Om er daarmee zeker van te zijn dat ze optimaal kunnen voldoen aan de wensen van hún klanten en aan de wet- en regelgeving, met uitsluiting van alle (zo veel mogelijk) denkbare risico’s. In het kader van die externe dienstverlening – uitbesteding bij gespecialiseerde partners - wilt u als afnemer van die diensten echter ook de garantie dat uw gegevens vertrouwelijk worden behandeld en dat geen onbevoegde ogen toegang krijgen tot die gegevens. U  maakt afspraken met de dienstverlener, maar kunt u die afspraken ook controleren? Of laten controleren? Waaraan kunt u een betrouwbare dienstverlener herkennen?

Er zijn diverse certificeringen die u in ieder geval dat goede gevoel kunnen geven. Het gevoel dat de dienstverlener waarmee u samenwerkt in redelijkheid en billijkheid – alles heeft gedaan te kunnen voldoen aan de wetgeving. Of waarmee u als dienstverlener uw klanten duidelijk kunt maken dat u dat doet.

Beeld: Danto Creatieve Communicatie

Plaats op:
Datum: 26 oktober 2017
Bron: DocumentWereld
Gerelateerde artikelen  
26-10-2017 Achtergrondartikelen Privacy en de GDPR, vooruit lopen of achterover leunen?
28-02-2017 Achtergrondartikelen EU General Data Protection Regulation: ook belangrijk voor automotive branche …
16-11-2017 Achtergrondartikelen Onderzoek kwaliteit IP-tracking diensten: klant hoeft zich niet bekocht te …
26-10-2017 Nieuws Nieuwe cybersecurity-oplossingen van BlackBerry voor de zelfrijdende auto
06-06-2017 Achtergrondartikelen Kwaliteit verrijkte webleads laat maar al vaak te wensen over: onderzoek gewenst …
 
 

- partners -

 
 
 
 
 
� 2005 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,3 seconden.