Blog

Vanaf 1 september 2001 is in Nederland de WBP (Wet Bescherming Persoonsgegevens) van kracht. 17 jaar geleden zijn er dus allerlei wettelijke bepalingen op grond van bescherming van gevoelige informatie toegevoegd aan ons wetboek. Deze regels vertellen iets over hoe wij om moeten gaan met persoonsgegevens en de verwerking daarvan. Conformeren wij ons niet aan deze regels, dan overtreden we de wet.

De WBP (Wet Bescherming Persoonsgegevens)  schrijft dus bijvoorbeeld al 17 jaar voor dat:

  • De burger (betrokkenen) mag zijn gegevens te allen tijde inzien en mag ook verzoeken tot onder andere correctie van zijn gegevens en bezwaar maken tegen de verwerking van zijn persoonsgegevens;
  • Organisaties die persoonsgegevens verwerken moeten hiervoor uitdrukkelijk welbepaalde doelen voor hebben beschreven en deze doelen dienen te zijn rechtvaardigt door bijvoorbeeld toestemming van de betrokken burger;
  • Organisatie die de verwerking van persoonsgegevens uit besteden dienen te beschikken over overeenkomsten waarin is vastgelegd van wie de data is, hoe de beveiliging omtrent de data geschiedt en wat er gebeurt bij een datalek;
  • Verwerking van gegevens dient inzichtelijk te zijn voor de autoriteiten (autoriteit persoonsgegevens).

Op het niet naleven van de regels staan hoge boetes. Waarom zijn deze regels verzonnen? In artikel 10 van de Grondwet is het recht op privacy geregeld: ‘Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.’ In andere wetten staan regels over wat wel en niet mag in het kader van privacy. De belangrijkste is de Wet Bescherming Persoonsgegevens. De regels zijn er dus in verband met privacy, het recht op privacy wordt omschreven als het recht om met rust te worden gelaten.

Privacy is een interessant onderwerp dat vanaf verschillende oogpunten kan worden benaderd, privacy is bijvoorbeeld:

  • Een afweerrecht dat de persoonlijke levenssfeer beschermt
  • Persoonlijke vrijheid
  • Het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven
  • Zelf bepalen wie welke informatie over je krijgt
  • De wens onbespied en onbewaakt te leven
  • Het recht om imperfect te zijn

Een Casino heeft camera’s geplaatst om valsspelen tegen te gaan. Nu blijkt dat er een plek binnen het pand is waar verboden middelen worden verhandeld. Dit betreft de enige plek zonder cameratoezicht, het casino besluit camera’s op te hangen in de toiletruimten.

De overheid gaat DNA-informatie van al haar burgers opslaan. Deze informatie kan door de politie worden gebruikt bij het oplossen van bijv. een moord. Je hebt toch niets te verbergen als je niks gedaan hebt?

Bovenstaande casussen heb ik enige tijd geleden in een presentatie (van de organisatie ICTrecht) te horen gekregen. Bij het 1e voorbeeld was iedereen in de zaal het erover eens, dit kan echt niet! Bij het 2e voorbeeld sloeg de twijfel al in.

We hebben de Wet Bescherming Persoonsgegevens en het onderwerp privacy, beide niet nieuw, beide iets waar we allang (volgens de wet) over nagedacht hebben. En dan komt “ineens” het onderwerp AVG (Algemene Verordening Gegevensbescherming) of GDPR (Engelstalige benaming van de AVG) om de hoek kijken, alle alarmbellen gaan als het ware af als je alle leveranciers en marketingcampagnes mag geloven. De AVG (Algemene Verordening Gegevensbescherming), een Europese vorm van de WBP (Wet Bescherming Persoonsgegevens), is in gang getreden op 25 mei 2016 en zal de  WBP (Wet Bescherming Persoonsgegevens) vervangen op mei 2018. Hiermee hebben organisaties 2 jaar de tijd om zich te conformeren (compliant zijn), deze 2 jaar geldt als periode om de wijzigingen van de AVG (Algemene Verordening Gegevensbescherming) ten opzichte van de WBP (Wet Bescherming Persoonsgegevens) te implementeren.

Wat blijkt nou in de praktijk? De regels omtrent de WBP (Wet Bescherming Persoonsgegevens) worden in de praktijk door maar weinig organisaties echt toegepast. Veel organisaties kennen het bestaan niet eens laat staan dat ze weten wat ze moeten doen om compliant te zijn. Het conformeren aan de wet- en regelgeving blijkt tevens een multidisciplinaire taak. Het blijkt een combinatie van organisatorische, juridische en menselijke aspecten die tevens ondersteund worden door technische middelen en maatregelen. Waar moet je als organisatie beginnen als je feitelijk nog niets hebt gedaan aan conformering met de WBP (Wet Bescherming Persoonsgegevens) en/of AVG (Algemene Verordening Gegevensbescherming) ?

De invoering van de AVG (Algemene Verordening Gegevensbescherming) geldt voor veel organisaties als trigger om nu toch echt eens te gaan kijken wat we moeten doen om te voorkomen op de vingers te worden getikt door autoriteiten. De reputatie- en financiële schade kan groot zijn wanneer achteraf blijkt dat een organisatie heeft gefaald zich te conformeren aan wet- en regelgeving.

Een stappenplan

Mijn advies is om een actieplan op te stellen om inzicht te verkrijgen in welke stappen er genomen dienen te worden om compliant te zijn aan de AVG (Algemene Verordening Gegevensbescherming). Let op de AVG (Algemene Verordening Gegevensbescherming) is een wet, conformering doe je niet door één product of dienst toe te passen. Deze aanpak wordt wel veelvuldig door product leveranciers de wereld in geprezen. “Koop product X en je voldoet aan de AVG (Algemene Verordening Gegevensbescherming)” is een utopie. Een product of technologische oplossing kan uiteraard wel bijdragen aan de conformering.

De AVG (Algemene Verordening Gegevensbescherming) gaat over het verwerken van privacygevoelige informatie (persoonsgegevens). Verwerken duidt op alles wat je met informatie kan doen, bijv. opslaan, wijzigen, vernietigen, kopiëren, publiceren etc. De autoriteit persoonsgegevens voorziet in hulpmiddelen om compliant te kunnen zijn. Met name de website waarin informatie wordt gegeven over verschillende definities en voorwaarden kan bijdragen.

Inhoudelijk bestaat de AVG (Algemene Verordening Gegevensbescherming) uit een aantal pijlers:

Bewustwording
Zorgen voor bewustwording binnen de organisatie aangaande privacygevoelige informatie. Wat is de AVG (Algemene Verordening Gegevensbescherming), wat zijn persoonsgegevens, wat is informatiebeveiliging, welke gedragsregels hanteert een organisatie bij persoonsgegeven of andere informatie.

Rechten van betrokkenen
Toestemming van betrokkenen om gegevens te verwerken noodzakelijk, aantoonbaarheid van de toestemming ook noodzakelijk, betrokkenen moeten toestemming in kunnen trekken

Documentatieplicht
Aantoonbaarheid van verwerking van persoonsgegevens. Welke persoonsgegevens worden er verwerkt? Wat is het doel van deze verwerking? Welke beveiligingsmaatregelen zijn er van toepassing?

Analyse van impact van verzamelen/hebben van privacygevoelige informatie
Het uitvoeren van een impact analyse. Verplicht wanneer grootschalige gegevensverwerking van toepassing is.

Privacy by design
Ervoor zorgen dat producten en/of diensten zich kunnen conformeren aan privacy uitgangspunten. Bijvoorbeeld door betrokkenen de mogelijkheid te bieden akkoord te gaan met verwerking.

Functionaris gegevensbescherming
Aanspreekpunt en verantwoordelijke voor privacy vraagstukken binnen de organisatie.

Meldplicht datalekken
De meldplicht omtrent het rapporteren van datalekken aan de autoriteiten.

Verwerkersovereenkomsten
Overeenkomsten tussen uitbesteden partij en opdrachtnemer met afspraken over dataeigenaar, datalek procedure en beveiligingsmaatregelen.

Leidende toezichthouder
De AVG (Algemene Verordening Gegevensbescherming) fungeert op Europees niveau. Toezichthouder van toepassing van het land waar de hoofdvestiging van een organisatie is gevestigd.

Uiteraard zijn er allerlei voorwaarden en “ja, maar” situaties van toepassing op de pijlers. Niet alles dient bij alle organisaties in bepaalde vorm te worden toegepast. Om een 1e aanzet tot conformering aan de AVG (Algemene Verordening Gegevensbescherming) behapbaar te houden kan het volgende stappenplan worden toegepast. Onthoud, de AVG (Algemene Verordening Gegevensbescherming) gaat over de verwerking van privacygevoelige informatie. Houdt dit dan ook centraal in de aanpak voor conformering en bouw hieromheen de informatie die noodzakelijk is.

Breng in kaart waar binnen de organisatie verwerking van persoonsgegevens optreedt, wat het doel hiervan is en aan welke grondslagen deze verwerking zich conformeert. Documenteer deze informatie in een zogenaamd verwerkingsregister, dit register geldt uiteindelijk als de aantoonbaarheid voor inzage in de verwerkingen van persoonsgegevens binnen de organisatie.

  1. Wijs een verantwoordelijke aan binnen de organisatie voor de implementatie van de AVG (Algemene Verordening Gegevensbescherming). Maak afspraken over de methode van borging informatie in relatie tot de AVG (Algemene Verordening Gegevensbescherming) (opslag van documentatie, procedures en contracten).
  2. Inventariseer welke persoonsgegevens u verwerkt, hoe je dat doet en waarom je dat doet. Documenteer dit in een zogenaamd verwerkingsregister (verplicht bij 250 medewerkers in dienst). Dit kan pragmatisch worden opgesteld doormiddel van een Excel bestand waarin per gegevensverwerking de noodzakelijk eigenschappen worden gedocumenteerd.
  3. Controleer op de wettelijke verplichtingen op het gebied van aanstellen Functionaris gegevensbescherming, uitvoering DPIA en de leidende toezichthouder. Wanneer van toepassing voer de betreffende actie uit.
  4. Controleer op uitbesteding van verwerking van persoonsgegevens (verwerkingsregister) en ga verwerkersovereenkomsten aan met deze partijen.
  5. Controleer verwerking van persoonsgegevens op de aantoonbaarheid van toestemming van de betrokkenen wanneer deze grondslag van toepassing is. Zorg ervoor dat de toestemming aantoonbaar is en de betrokkenen deze toestemming weer kan intrekken.
  6. Stel documentatie op waarin aspecten zoals HRM, facilitair, inkoop/uitbesteding en ICT-middelen in relatie worden gebracht met organisatorische en technische maatregelen ten behoeve van informatiebeveiliging. Beschrijf hiermee kort en krachtig welke beveiligingsmaatregelen er zijn toegepast binnen de organisatie. We spreken hier over administratieve, logische en fysieke beveiligingsmaatregelen. Dit onderdeel is geen verplichting maar zal bijdragen aan de aantoonbaarheid hoe de zaken binnen de organisatie op het gebied van informatiebeveiliging zijn georganiseerd.
  7. Stel een procedure op aangaande een datalek en de gedragsregels hieromtrent. Wat gaat de organisatie doen bij een datalek? Wie gaat dit doen? Wanneer gaat dit gebeuren? Hoe wordt een datalek gedocumenteerd? Welke communicatie vindt er plaats? Wie communiceert? Interne registratie van een datalek is verplicht!
  8. Breng informatiebeveiliging en privacy onderwerpen onder de aandacht bij medewerkers. Organiseer een bewustwording sessie waarin soorten persoonsgegevens, gedragsregels, praktijkvoorbeelden van datalekken en het communicatieprotocol onder de aandacht wordt gebracht. Publiceer deze informatie op een medewerkers portaal/intranet/informatievoorziening.

Wellicht ten overvloede, de AVG (Algemene Verordening Gegevensbescherming) (GDPR) is niet zozeer een informatiebeveiliging vraagstuk, het betreft een privacyvraagstuk. Technologische oplossingen voor informatiebeveiliging kunnen hier wel in bijdragen. Echter geen documentatie (aantoonbaarheid) van gegevensverwerking maar wel een bulk aan technische middelen betekent dat je niet compliant bent volgens de Algemene Verordening Gegevensbescherming. Compliant zijn aan de AVG (Algemene Verordening Gegevensbescherming)  besteed je niet uit, het dient vanuit de interne organisatie worden vormgegeven. Compliant zijn betreft geen éénmalige actie maar een proces. Pas de PDCA-cyclus (Plan - Do - Check - ACT) toe om de stappen in bovengenoemd plan op pragmatische maar gestructureerde wijze aan te pakken.

Hulp nodig? Wij denken uiteraard graag mee! Cliënt ICT Groep treedt op als sparringpartner en kan u de juiste richting meegeven als het gaat om de AVG / GDPR vraagstukken.  

Brochure aanvragen

Wil jij ook de wereld voor blijven? Vraag dan nu de brochure aan. Je ontvangt deze brochure digitaal.

Aanvragen

Afspraak maken

Voor een persoonlijke kennismaking nemen we graag rustig de tijd. Zullen we daarom eerst een afspraak maken?

Afspraak maken

Op deze website worden functionele en analytische cookies gebruikt. Op deze manier zorgen wij dat de website naar behoren functioneert.

Lees meer