Eén jaar AVG: hoe ver bent u?

Eén jaar AVG: hoe ver bent u?

- Nieuws

1. In een notendop: wat verplicht de AVG?
2. Hoe kunt u bijsturen en verbeteren?
3. Wat zijn de ontwikkelingen op het gebied van privacy?
4. AVG, risicomanagement en informatiebeveiliging in uw bedrijf
5. Conclusie
 

1. Wat verplicht de AVG?

 
De AVG verplicht bedrijven onder andere om precies te documenteren welke persoonsgegevens van wie ze in bezit hebben, wat ze ermee doen en hoelang ze die bewaren. Ook moeten bedrijven de volledige uitbestedingsketen, bijvoorbeeld een SAAS-oplossing voor de personeelsadministratie en hosting van gevoelige data in de cloud, beheersen en controleren. Privacyrechten van klanten en medewerkers zijn uitgebreid en als organisatie moet u kunnen aantonen hoe u die rechten borgt. Een ander belangrijk aspect is dat u voldoende technische en organisatorische beveiligingsmaatregelen moeten hebben getroffen ter bescherming van persoonsgegevens. Heel wat nieuwe verplichtingen dus. 

 

Grip op de verwerking en beveiliging van persoonsgegevens

Veel ondernemers zijn nog bezig hun bedrijf AVG-compliant te maken. U wellicht ook. We weten ook dat er ondernemers zijn die nog maar weinig stappen hebben gezet. Nadat de extreme media-aandacht voor de AVG is gaan liggen, is de prioriteit binnen veel bedrijven verschoven naar de drukte van alledag. De toezichthouder zal waarschijnlijk niet zo snel bij u als mkb-ondernemer op de stoep staan, desondanks is het wel zaak te voldoen aan de wet en grip te hebben als het gaat om de verwerking en beveiliging van uw persoonsgegevens. Hoe vindt u het zelf als niet goed wordt omgegaan met uw gegevens? 

 

2. Hoe kunt u bijsturen en verbeteren?

 
Wij informeren u over de (vervolg)stappen die u kunt zetten. We kiezen hierbij als insteek de zogenaamde PDCA-verbetercyclus (Plan-Do-Check-Act-cirkel, afgekort PDCA-cirkel), ook bekend vanuit kwaliteitsmanagement. Dit is een breed geaccepteerde methodiek voor het besturen en het doorlopend verbeteren van processen. Volgens de AVG dienen bedrijven met regelmaat de genomen maatregelen te evalueren en te verbeteren. 
 
Tevens komen enkele ontwikkelingen aan de orde die mogelijk impact hebben op uw bedrijfsvoering. Hierbij moet u denken aan nieuwe wetgeving, nadere uitleg van de toezichthouder op specifieke onderwerpen, het afhandelen van klachten en datalekken en eerste jurisprudentie. Ten slotte zoeken we aansluiting bij andere thema’s, zoals informatiebeveiliging en risicomanagement. Er zijn namelijk diverse dwarsverbanden waardoor het mogelijk is privacyzaken efficiënt op te pakken. 

 

De verbetercyclus of PDCA-cirkel

De PDCA-cirkel bevat essentiële stappen voor de besturing van een organisatie. Door deze stappen te doorlopen en verkregen resultaten te borgen, werkt u structureel aan de verbetering van de bedrijfsvoering en komt u in control op de diverse bedrijfsrisico’s. 
 
Kort beschreven houden de stappen het volgende in:
  • Plan: maak een plan met de resultaten die u wilt bereiken of de maatregelen die u wilt treffen binnen bepaalde (juridische) kaders.
  • Do: voer het plan uit en/of implementeer de maatregelen.
  • Check: vergelijk de resultaten met wat u had willen bereiken en controleer de effectiviteit van de genomen maatregelen.
  • Act: bij afwijkingen: neem aanvullende maatregelen of stuur bij om de resultaten alsnog te bereiken of om de bedrijfsvoering te verbeteren. 
Bron: Lean-wiki
 
Voor de implementatie en het in control komen als het gaat om de verplichtingen uit de AVG is deze verbetercyclus prima bruikbaar. U kunt aan de hand van de vier fasen nagaan waar u op dit moment staat ten aanzien van de privacyzaken die u minimaal verplicht moet borgen. 
 
Zit u hoofdzakelijk nog in de Plan-fase? Dan zult u aan de slag moeten om de risico’s die u op dit moment loopt, te beperken. Bent u al aan het nagaan of de zaken die u heeft geregeld en heeft uitgevoerd, ook werken zoals u heeft beoogd? Dan bent u in de Check-fase. Uw bedrijf is dan al meer in control. De verbeterpunten die u uit de evaluatie haalt, helpen u om verbeteringen door te voeren. In onderstaande afbeelding is voor een aantal relevante privacyonderwerpen uitgewerkt op welke wijze u een verbetercyclus in kunt richten.
 
Bron: KoutersVanderMeer

Plan 

Op basis van bijvoorbeeld een risicoanalyse wordt een AVG-beleid opgesteld waarin (beveiligings)maatregelen zijn beschreven. Verplichte procedures worden opgesteld (procedure privacyrechten, incidenten en datalekken, toestemming) en registers (verwerkingen en incidenten) ingericht. Contracten met leveranciers worden aangepast en er worden middelen bepaald op welke wijze gewerkt gaat worden aan het vergroten van bewustzijn bij medewerkers.
 

Do 

In deze fase worden de organisatorische, procedurele en technische beveiligingsmaatregelen die voortkomen uit de risicoanalyse, geïmplementeerd en uitgevoerd. De registers worden aangevuld. Ook wordt aandacht besteed aan het creëren van bewustzijn bij medewerkers voor AVG-risicobeheersing. Privacyontwikkelingen en mogelijke incidenten worden in deze fase beoordeeld en meegenomen.
 

Check

In deze fase vindt de controle van de werking van de (beveiligings)maatregelen plaats. Externe dienstverleners dienen ook periodiek te rapporteren om inzicht te geven in AVG-risicobeheersing. Eventuele tekortkomingen, ontwikkelingen en incidenten worden geëvalueerd. 
 

Act 

Op basis van de evaluatie in de checkfase vindt in deze fase bijsturing plaats door middel van aanvullende (verbeter)maatregelen. Het kan gaan om aanpassing van beleid, procedures, registers, specifieke beveiligingsmaatregelen of extra inzet op awareness bij medewerkers. 
 

Coördinatie & Communicatie

Heeft u voorgaande stappen gezet? Dan zijn toereikende coördinatie en communicatie door het management essentieel voor de borging van de behaalde resultaten en de blijvende werking van de verbetercyclus van de AVG-risicobeheersing. Alle medewerkers hebben een eigen verantwoordelijkheid hierin en dienen in lijn met het belang ervan te handelen. Privacy moet voor medewerkers gaan van onbewust onbekwaam (‘je weet dat je iets (nog) niet kunt’) naar onbewust bekwaam (‘wat je wilde leren, is een automatisme geworden’). 

 

3. Ontwikkelingen op gebied van privacy

 
Er zijn diverse relevante privacyontwikkelingen in het afgelopen jaar te noemen die (mogelijk) impact hebben op uw bedrijfsvoering. Deze ontwikkelingen zijn vooral afkomstig van de toezichthouder. Het is belangrijk dat u voor uw organisatie bepaalt wat de gevolgen zijn en of u bijvoorbeeld bepaalde procedures moet aanpassen. U kunt deze ontwikkelingen meenemen in de PDCA-cirkel zoals hierboven beschreven. We sommen hieronder enkele ontwikkelingen op.
 
  • E-privacyverordening (ePV) komt eraan
De ePV zal gaan gelden – mogelijk nog dit jaar – als verbijzondering op de AVG. De ePV richt zich op de verwerking van persoonsgegevens voor kort gezegd elektronische communicatiediensten en vervangt enkele onderdelen uit de huidige Telecommunicatiewet. Naast het beschermen van onlinecommunicatie gaat de ePV ook in op cookieregels en het spamverbod. Voor het plaatsen van bepaalde cookies is toestemming vereist. Het spamverbod houdt in dat consumenten geen elektronische communicatie (direct marketing) mogen ontvangen waarvoor ze geen toestemming hebben gegeven. Niet alleen dergelijke communicatie via e-mail of sms heeft toestemming nodig van de consument, het gaat hierbij ook om telefonische reclame. Daarnaast zullen ook de inhoud van elektronische berichten en de metadata ervan beschermd worden, zoals plaats en tijdstip van verzenden.
 
  • AP ontvangt 21.000 datalekken
De meest voorkomende type datalekken betroffen: 
1. Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. 
2. Het kwijtraken of de diefstal van een gegevensdrager, zoals een laptop of usb-stick, maar ook papier.
3. Verlies van gegevens door hacking, phishing of malware. 
 
U zult als organisatie aandacht moeten blijven hebben voor incidenten en mogelijke datalekken en specifiek het bevorderen van het bewustzijn bij uw medewerkers en leveranciers.
 
  • Meer dan 10.000 mensen dienen een klacht in
Met de inwerkingtreding van de AVG zijn de privacyrechten van betrokkenen versterkt. Consumenten en werknemers kunnen een privacyklacht indienen bij de Autoriteit Persoonsgegevens als ze vermoeden dat persoonsgegevens zijn verwerkt op een manier die in strijd is met de AVG. Mensen trekken vooral aan de bel over schending van hun privacyrechten als meer gegevens worden uitgevraagd dan noodzakelijk en over het ongewenst doorgeven van hun persoonsgegevens aan derden. U dient een procedure te hebben voor privacyrechten. 
 
  • Aanbevelingen voor verwerkingsregister en verwerkersovereenkomsten
In de AVG staat dat organisaties die persoonsgegevens verwerken, een verwerkersovereenkomst moeten sluiten als ze samenwerken met andere partijen bij de verwerking van die persoonsgegevens. Dat is bijvoorbeeld nodig als u IT-voorzieningen uitbesteedt. Organisaties blijven er zelf verantwoordelijk voor dat persoonsgegevens goed beschermd zijn. Daarom mag een organisatie alleen verwerkers inschakelen die voldoende garanties bieden dat zij ook aan de wettelijke vereisten voldoen. 
 
Op basis van onderzoek naar verwerkingsregisters komt de AP met vijf concrete aanbevelingen:
1. Benoem hoelang en met welk doel u persoonsgegevens wilt bewaren. Onder de AVG is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. 
5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
 
  • Belastingdienst mag BSN niet meer gebruiken voor btw-identificatienummer en Kamer van Koophandel stopt met verkoop informatie
De Belastingdienst mag het Burgerservicenummer (BSN) niet gebruiken in het btw-identificatienummer van zelfstandigen. De toezichthouder Autoriteit Persoonsgegevens (AP) heeft hiervoor een verwerkingsverbod opgelegd aan de Belastingdienst. Het verwerkingsverbod gaat per 1 januari 2020 in. Zelfstandigen zijn wettelijk verplicht hun btw-identificatienummer te vermelden op hun facturen. Zelfstandigen met een webwinkel moeten dit nummer ook op hun website vermelden. Het BSN is onderdeel van het te vermelden btw-identificatienummer. Daarmee is het BSN van zelfstandigen breed bekend. Dat maakt hen kwetsbaar voor kwaadwillende personen die misbruik willen maken van het BSN om identiteitsfraude te plegen.
 
De AP heeft geconstateerd dat de verkoop van namen en adressen van zzp’ers en bestuurders in het product ‘Adressenbestand Online’ niet voldoet aan de privacyregels. De Kamer van Koophandel stopt met de verkoop van dit informatieproduct vanaf 1 juli 2019.
 
  • Boetes en lasten onder dwangsom: enkele voorbeelden
De Autoriteit Persoonsgegevens heeft Uber een boete van € 600.000 opgelegd voor het overtreden van de meldplicht datalekken. In 2016 vond een datalek bij het Uber-concern plaats waarbij onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs kregen. Het Uber-concern krijgt de boete, omdat het de AP en betrokkenen niet binnen 72 uur na het ontdekken van het lek heeft geïnformeerd.
 
De Autoriteit Persoonsgegevens heeft het UWV een last onder dwangsom opgelegd van € 150.000 per maand met een maximum van € 900.000, omdat het beveiligingsniveau van het werkgeversportaal niet voldoet. Op uiterlijk 31 oktober 2019 moet het UWV het beveiligingsniveau van dit portaal op orde hebben. Het UWV kiest hierbij waarschijnlijk voor het toepassen van e-herkenning.  
 
  • Brexit
Bij een no-dealbrexit zal het Verenigd Koninkrijk in het kader van de AVG een zogenaamd derde land worden en zullen organisaties doorgifte en verwerking van persoonsgegevens aan organisaties in het Verenigd Koninkrijk met aanvullende waarborgen en contracten moeten inregelen. Dit is vergelijkbaar met de huidige situatie voor Amerikaanse bedrijven.
 
  • Jurisprudentie
Ook voor zover een personeelsdossier niet geautomatiseerd wordt verwerkt, is de rechter van de rechtbank Midden-Nederland van oordeel dat een personeelsdossier meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Het personeelsdossier is in dat geval aan te merken als ‘bestand’ in de zin van de AVG, waarmee het dus onder het toepassingsgebied van de AVG valt. 
 

4. AVG, risicomanagement en informatiebeveiliging

We zoeken voor het doorvoeren van de verplichtingen uit de AVG aansluiting bij andere thema’s, zoals risicomanagement en informatiebeveiliging. Er liggen namelijk diverse dwarsverbanden, waardoor het mogelijk is privacyzaken in combinatie met deze thema’s efficiënt op te pakken. Direct voordeel voor u. 
 

Risicomanagement

Risicomanagement is een aanpak waarmee organisaties risico’s in kaart brengen, analyseren wat de kans van optreden en impact is, beheersingsmaatregelen bepalen en de effectiviteit van de getroffen maatregelen monitoren. De laatste stap vormt de evaluatie en is de basis voor het bepalen van mogelijke verbeteracties. 
 
Zoals u kunt opmaken, volgt het risicomanagement ook een verbetercyclus. Deze methodiek kunt u toepassen op bijvoorbeeld financiële en IT-risico’s en dus ook op privacyrisico’s. Indien u voor een integrale benadering kiest, kunt u diverse risico’s (uitbesteden, IT, gegevensverwerking, privacy) analyseren en beheersen.
 

Informatiebeveiliging

In het kader van informatiebeveiliging wordt door steeds meer bedrijven aansluiting gezocht bij de ISO-normering op dit gebied. Deze zijn neergelegd in de code voor informatiebeveiliging (NEN ISO 27001/2). 
 
De normen die gelden op het gebied van informatiebeveiliging en de maatregelen die hiervoor getroffen worden, sluiten direct aan bij de voorschriften van de AVG. De AVG schrijft namelijk voor dat organisaties technische en organisatorische maatregelen moeten treffen om de verwerking van persoonsgegevens afdoende te beveiligen tegen bijvoorbeeld inbreuken of onrechtmatige inzage. Deze maatregelen liggen kortweg op drie gebieden: mens, organisatie en techniek.  
 
De beveiliging van de verwerking van persoonsgegevens valt onverkort onder informatiebeveiliging. Dus regelt u uw informatiebeveiliging op basis van ISO 27001, dan regelt u ook direct de beveiliging van de verwerking van uw persoonsgegevens. Let op: dit is dus slechts één van de verplichtingen van de AVG. Belangrijk is dat u ook uw samenwerkende partijen en leveranciers dezelfde normen oplegt. Dan beheerst u de volledige verwerkingsketen vanuit deze eenduidige normen.
 
Tip!
Indien u gebruik wilt maken van ISO 27001 om wat betreft technische en organisatorische maatregelen te voldoen aan de verplichtingen uit de AVG, maak dan keuzes. Want het kan zijn dat uw onderneming niet alle onderdelen van deze ISO-certificering nodig heeft!

5. Conclusie

 
Maak een jaar na de inwerkingtreding van de AVG als bedrijf de balans op. Ondanks dat de media-aandacht is verslapt, kunt u nu niet achterover leunen. U moet verplicht zaken geregeld hebben, maar u moet vooral in control zijn over de persoonsgegevens waarvoor u de eindverantwoordelijkheid draagt. Een mogelijkheid is om de PDCA-cirkel binnen uw bedrijfsvoering te gebruiken. Hiermee kunt u zaken borgen binnen uw bedrijf, maar ook doorlopend werken aan verbeteringen. Ontwikkelingen op het gebied van de AVG kunt u met deze methodiek eenvoudig integreren. Door risicomanagement en informatiebeveiliging integraal op te pakken, ook voor de AVG, kunt u zaken in één keer efficiënt regelen. Kunnen we u met dit proces helpen, bel ons dan.