De AVG: het valt best wel mee

De AVG: het valt best wel mee

DearBytesBlogCompliancyDe AVG: het valt best wel mee

woensdag 14 februari 2018

De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 jaagt de mensen her en der de stuipen op het lijf. Er wordt geschermd met boetes van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet bij overtreding. Doemscenario’s verschijnen langzaam aan de horizon. Toch zet ik zulke uitlatingen in het hoekje ‘bangmakerij’. Laten we de AVG niet demoniseren, maar nuchter bekijken voor wat het is.

Aanloop Algemene Verordening Gegevensbescherming 

Voor de komst van de AVG is de Wet bescherming persoonsgegevens (Wbp) al aangescherpt met de meldplicht datalekken. Die trad in werking op 1 januari 2016. De AVG is vervolgens al op 4 mei 2016 bekrachtigd, maar de overheid heeft het bedrijfsleven een implementatietermijn gegeven tot 25 mei 2018. Vanaf dat moment moet dan ook daadwerkelijk worden voldaan aan de AVG.

avg

Wat verandert er?

Iedereen die zich bewust is van de AVG heeft één belangrijke vraag: wat verandert er nu voor mij?

Voor organisaties betekent de AVG in algemene zin dat zij moeten kunnen aantonen dat ze zich aan de wet houden. Als bedrijf moet je op een aantoonbaar verantwoorde manier gebruikmaken van persoonsgegevens. Dit noemt de AVG ‘accountability’, ofwel de verantwoordingsplicht.

Betrokkenen, dat zijn de mensen van wie persoonsgegevens verwerkt worden, krijgen meer rechten. Onder de AVG hebben zij het recht om:

  • een organisatie te vragen te stoppen met het verwerken van hun gegevens;
  • een organisatie te vragen hun gegevens te verwijderen;
  • op te vragen welke gegevens een organisatie van hen heeft;
  • de informatie die een organisatie heeft te laten wijzigen;
  • een uitdraai te ontvangen van de informatie die een organisatie van hen heeft, in een gangbaar formaat;
  • de gegevens door te laten zetten naar een nieuwe/andere dienstverlener (indien technisch mogelijk).

De verplichtingen

Dat betrokkenen uitgebreide rechten krijgen, betekent hoogstwaarschijnlijk dat er aanpassingen aan de IT-infrastructuur nodig zijn. Tenzij je organisatie in de gelukkige positie verkeert dat deze zonder aanpassingen de nieuwe rechten van betrokkenen al kan vervullen.

Daarnaast zijn er vijf verplichte maatregelen voor iedere organisatie:

  1. Het bijhouden van een register van verwerkingsactiviteiten;
  2. Het bijhouden van datalekken die zijn opgetreden in een eigen register (maar deze nog steeds melden bij de Autoriteit Persoonsgegevens);
  3. Kunnen aantonen dat een betrokkene toestemming heeft gegeven voor een gegevensverwerking;
  4. Het uitvoeren van een Data Protection Impact Assessment (DPIA);
  5. Een Functionaris Gegevensbescherming aanstellen.

1. Register verwerkingsactiviteiten

Het bijhouden van verwerkingen van persoonsgegevens is verplicht voor organisaties met meer dan 250 medewerkers. Wanneer een organisatie minder dan 250 medewerkers heeft is een register verplicht voor verwerkingen die:

  • Een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen (zie ook DPIA);
  • Niet incidenteel zijn;
  • Vallen in de categorie bijzondere persoonsgegevens (zoals godsdienst, gezondheid, politieke voorkeur).

Om te weten welke verwerkingen in het verwerkingsregister opgenomen moeten worden zul je ze toch allemaal in kaart moeten brengen. Documenteer daarbij welke persoonsgegevens de organisatie verwerkt en met welk doel, waar de gegevens vandaan komen en met wie ze worden gedeeld. Dit is onderdeel van de verantwoordingsplicht. Wanneer je organisatie (bepaalde) persoonsgegevens door een derde partij laat verwerken, zullen er ook afspraken met die derde partij moeten komen over de verwerking. De AVG noemt dat een verwerkersovereenkomst.

2. Register datalekken

De meldplicht datalekken blijft in principe hetzelfde. Daarnaast moet je organisatie zelf ook een register van datalekken bijhouden. Alle datalekken moeten gedocumenteerd zijn.

3. Toestemming

Het verkrijgen van expliciete toestemming is één van de zes grondslagen in de AVG, die niet zoveel verschillen van de grondslagen in de Wbp. Een grondslag is een gegronde reden om persoonsgegevens te verwerken. De zes grondslagen zijn (kort door de bocht):

a. Toestemming – Een persoon/klant gaat akkoord door toestemming te geven voor een gegevensverwerking voor één of meer specifieke doeleinden.

b. Overeenkomst – De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.

c. Wettelijke verplichting – De gegevensverwerking is noodzakelijk om te kunnen voldoen aan bepaalde wetgeving.

d. Vitaal belang – De gegevensverwerking is noodzakelijk om de vitale belangen van een natuurlijk persoon te borgen.

e. Publieke taak – De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang, of van een taak in het kader van uitoefening van openbaar gezag dat aan je organisatie is opgedragen.

f. Rechtvaardig belang – De gegevensverwerking is noodzakelijk voor de gerechtvaardigde belangen van je organisatie.

Voor iedere gegevensverwerking die je organisatie doet, moet gekeken worden op basis van welke van bovenstaande zes grondslagen dit kan worden gedaan. Expliciet toestemming verkrijgen is dus één van de zes mogelijkheden.

4. Data Protection Impact Assessment

De DPIA kan vereist zijn bij een beoogde nieuwe verwerking, aanpassing aan een bestaande verwerking of bij een wijziging van het risico. De DPIA is vereist als er sprake is van een (waarschijnlijk) hoog privacyrisico.

Hoe bepaal je of een verwerking (waarschijnlijk) een hoog privacyrisico heeft? De Europese toezichthouders hebben hiervoor in oktober 2017 de ‘Guidelines on Data Protection Impact Assessment’ gepubliceerd. Hierin staan negen criteria beschreven.

In feite werkt het heel simpel:

  • Voldoet de (beoogde) verwerking hooguit aan 1 van de 9 criteria, dan is een DPIA niet vereist.
  • Voldoet de (beoogde) verwerking aan 2 van de 9 criteria, dan dient er een gegronde keuze te worden gemaakt en de keuze om geen DPIA uit te voeren dient gedocumenteerd en onderbouwd te zijn.
  • Voldoet de (beoogde) verwerking aan 3 of meer van de 9 criteria, dan is een DPIA vereist.

De DPIA is overigens geen eenmalige oefening, maar een cyclus. De Autoriteit Persoonsgegevens stelt deze cyclus als volgt voor:

5. Functionaris Gegevensbescherming

Komen we bij het laatste punt, de Functionaris Gegevensbescherming. De FG is verplicht voor de overheid, organisaties die observatie als kernactiviteit hebben en voor organisaties die op grote schaal persoonsgegevens verwerken als kernactiviteit (hieronder vallen onder andere zorginstellingen). Uiteraard zou je ook vrijwillig een FG aan kunnen stellen.

Van een FG wordt verwacht dat hij of zij bovengemiddeld veel vakkennis heeft van de privacywetgeving en van de praktijk van gegevensbescherming. De FG houdt intern toezicht op het naleven van de privacywet.

Waar moet ik nu beginnen?

DearBytes adviseert om te beginnen met het verkrijgen van inzicht. Dat is het eerste verplichte punt. Waar zitten persoonsgegevens en met welke partijen worden ze uitgewisseld? Wat heeft de organisatie al qua inrichting?

Vervolgens kijk je welke eisen de AVG aan jouw specifieke organisatie stelt. Daaruit wordt duidelijk wat nog ingericht moet worden, oftewel wat de ‘gaps’ zijn. Daarna kun je een actieplan opstellen om te benodigde zaken in te richten.

DearBytes helpt hierbij met een Privacy Quickscan. Wij brengen samen met de organisatie de datastromen in kaart en identificeren de bewerkers. Vervolgens voeren we een gap-analyse uit, zodat duidelijk is waar de organisatie nu staat en wat er ontbreekt qua inrichting.

Het resultaat is een register van verwerkingen, een nulmeting en gap-analyse én een actieplan met voorstel voor implementatie van de benodigde inrichting.


door Bart Schultink, security consultant bij DearBytes