De AVG, Algemene Verordening Gegevensbescherming (of GDPR), is van toepassing op alle organisaties met activiteiten binnen de EU. Voldoen aan de AVG kan een behoorlijke impact hebben op organisaties maar bieden ook een kans om de informatiehuishouding / beveiliging op orde te krijgen.

Heeft u de AVG nog niet gerealiseerd? Dan bieden wij u een stappenplan voor de implementatie.

Aanpak voor de implementatie

Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen.

  1. Benoem rollen en verantwoordelijkheden;
  2. Identificeer en registreer verwerkingen;
  3. Sluit verwerkersovereenkomsten af (waar nodig);
  4. Realiseer voorzieningen voor de rechten van betrokkenen;
  5. Voer een DPIA uit indien nodig;
  6. Neem maatregelen voor een adequate beveiliging.

Wilt u weten wat de AVG is?

1. Benoem rollen en verantwoordelijkheden

De AVG stelt het hebben van een functionaris gegevensbescherming (FG) verplicht voor organisaties groter dan 250 personen. Maar ook voor organisaties met grootschalige (of intensieve) verwerking van persoonsgegevens.

Als organisatie bent u volgens de AVG overplicht een FG te benoemen als u op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn (bron). Denk hierbij aan:

  • Het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • De hoeveelheid gegevens die u verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

Een FG kan intern benoemd worden maar kan ook extern belegd worden. Verder kunt u de FG ook als een team inrichten. Voor grotere organisaties is het verder aan te bevelen om taken van de FG te delegeren naar de verschillende organisatieonderdelen middels zogeheten coördinatoren.

De verantwoordelijkheid van de FG is om als toezichthouder de naleving van de AVG te waarborgen. Taken die hierbij uitgevoerd worden zijn uitvoering/bijwonen van PIA’s (zie stap 2), beoordeling en melding van datalekken (zie stap 4), en de controle op naleving door audit en rapportage.

Verder dient u te bepalen wie uw toezichthouder is. Voor organisaties in Nederland zal dit vrijwel altijd de AP zijn, maar als u internationaal actief bent in verschillende landen dan kan dit verschillen. Denk hierbij aan de vestigingslocatie van het hoofdkantoor of de plek waar grootschalige verwerking van persoonsgegevens plaatsvindt. Is dit voor uw organisatie niet direct duidelijk dan kunt u hiervoor contact opnemen met de AP.

Binnen uw organisatie zal u verder verantwoordelijken willen benoemen voor de datasets waarin persoonsgegevens opgeslagen / verwerkt worden. Deze ‘systeemhouders’ worden in stap 2 geïdentificeerd.

En natuurlijk heeft het management van de organisatie een verantwoordelijkheid in het aansturen en bevorderen van alle activiteiten benodigd om te kunnen voldoen aan de AVG.

Voorbeelden van organisaties met een intensieve of omvangrijke bewerking van persoonsgegevens zijn:

  • Onderzoeksbureau die in opdracht enquêtes verstuurd en verwerkt met betrekking tot voedingspatronen en gezondheid;
  • Een reisbureau dat internationale reizen boekt;
  • Ziekenhuizen, onderwijsinstellingen, gemeenten etc.

Tip

Om uw informatiehuishouding (en in het verlengde daarvan de beveiliging) op orde te krijgen is een inventarisatie van alle informatiesystemen sterk aan te bevelen.

Tip

Weet u niet waar te beginnen? Maak dan eventueel gebruik van eventueel reeds beschikbare informatie:

  • Bestaand beleid;
  • Lijst van systeemhouders;
  • Opdrachten / klantcontracten;
  • Overzichten van informatiestromen / informatiearchitectuur; en
  • Auditrapportages.

Voorbeelden van typische verwerkingen in organisaties:

  • HR: personeelsadministratie inclusief gegevens van sollicitanten;
  • CRM: contactinformatie van klanten / leads (bijvoorbeeld afkomstig van webformulieren;
  • Support / helpdesk: contactinformatie van gebruikers/klantcontacten;
  • Inkoop/administratie: persoonsinformatie van leveranciers, opdrachtgevers en andere dienstverleners (verzekeraars etc.); en
  • Saas/cloud applicaties: gebruikersgegevens (ten behoeve van identity management).

Base27 biedt complete ondersteuning voor de AVG

2. Identificeer en registreer verwerkingen

Vervolgens is het zaak om de opslag/verwerking van persoonsgegevens door uw organisatie te identificeren. Dit kunt u doen aan de hand van gebruikte informatiesystemen of aan de hand van verwerkingsactiviteiten (processen). De keuze wordt hierbij vooral bepaald door het aantal gebruikte informatiesystemen alsook de aard en omvang /complexiteit van de organisatie.

Kiest u voor de aanpak via informatiesystemen dan dient u daarbij ook de verwerkingen in kaart te brengen.

Voor elk van de verwerkingen dient u de verantwoordelijke, het doel, de betrokkenen, de gebruikte persoonsgegevens en de verwerkers in kaart te brengen alsook de termijn waarop de gegevens vernietigd worden. Bedenk hierbij dat de gebruikte gegevens proportioneel moeten zijn t.a.v. het doel van de verwerking.

 

3.  Afsluiten verwerkersovereenkomsten

Worden de gegevens doorgegeven aan derden (verwerkers) dan dient u met deze partijen een overeenkomst af te sluiten waarbij de privacyregels gewaarborgd blijven. Dit kan – en bij voorkeur – op basis van een verwerkersovereenkomst. Een verwerkersovereenkosmt legt vast met welk doel de gegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. De overeenkomst legt ook een mogelijke boete op indien de verwerker in gebreke blijft.

Een dergelijke boete (mogelijk oplopend tot miljoenen als gevolg van de AVG) kan disproportioneel zijn voor de verwerker. Afhankelijk van de omvang en type verwerking kan daarom ook gedacht worden aan een privacystatement van de verwerker, indien dit statement voldoende invulling geeft aan de vereiste privacyregels. De verwerker wordt daarbij natuurlijk geacht adequaat invulling te geven aan dit statement.

Een alternatief is ook om de verwerker dezelfde eisen aan privacy en beveiliging op te leggen als die u als verantwoordelijke hanteert voor de verwerking van persoonsgegevens. U krijgt dan echter ook de plicht om de naleving hierop te controleren door middel van audits en / of rapportages. En u zult periodiek de afspraken moeten evalueren.

4. Maatregelen voor rechten van betrokkenen

Om de rechten van betrokkenen te waarborgen zult u een aantal maatregelen moeten treffen. Het gaat hierbij met name om:

  • Toestemming en transparante informatie en communicatie:
    • Opstellen privacystatement voor op de website waarbij doel en gebruik van persoonsgegevens benoemt worden;
    • Vastlegging van toestemming voor gebruik persoonsgegevens;
    • In contracten eenduidig doel en verwerking opnemen van gebruikte persoonsgegevens;
  • Inzage in doel en verwerkingen van gegevens  plus beperking van gebruik van de gegevens tot het doel van de verwerking:
    • Mogelijkheid bieden tot inzage in doel en verwerking van gegevens van betrokkene. Dit kan op basis van het verwerkingsregister waarbij u de betrokkene kunt informeren over de verwerkingen die met/voor de betreffende doelgroep uitgevoerd worden;
  • Correctie en/of verwijdering van gegevens en kennisgeving van verwijdering:
    • Mogelijkheid bieden voor betrokkene om correctie of verwijdering van persoonsgegevens te realiseren. Denk aan mailingsystemen met een persoonlijk profiel en een unsubscribe optie;
    • Hanteren van bewaartermijnen. Zo is bijvoorbeeld de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure;
  • Beperking van overdracht van gegevens aan anderen, anders dan noodzakelijk voor het doel van de verwerking;
  • Mogelijkheid tot bezwaar en  optie tot geen automatische verwerking:
    • Minimaal contactgegevens op de website;
    • Cookie consent instellen (mogelijkheid om geen cookies te bewaren bij gebruik van de website) etc.

5.  Uitvoeren van een DPIA

Ook dient u zichzelf de vraag te stellen of voor de betreffende verwerkingen één of meerdere DPIA 's uitgevoerd moeten worden. Een DPIA is een Data Protection Impact Assessment en is feitelijk een risicoanalyse met als scope de verwerking. Een DPIA dient altijd uitgevoerd tenzij dit:

  • Met zekerheid geen hoog privacyrisico oplevert;
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd;
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd (tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is);
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

Indien u een DPIA dient uit te voeren dan kunt u daar bijvoorbeeld de ondersteuning van Base27 voor gebruiken.

6. Maatregelen voor informatiebeveiliging

Tot slot dient u de informatiebeveiliging van de systemen waarop persoonsgegevens opgeslagen/verwerkt worden op orde te hebben of te brengen. Om dit te doen kunt u zich de volgende vragen stellen:

  • Is er beleid m.b.t. informatiebeveiliging?
  • Voeren we regelmatig  risicoanalyses uit om onze beveiliging op orde te houden? En nemen we maatregelen om de risico’s te mitigeren?
  • Controleren we de effectiviteit van de maatregelen en stellen we zo nodig bij?
  • Voeren we een risicoanalyse en/of een PIA uit bij nieuwe projecten/veranderingen?
  • Zijn onze medewerkers bewust van de risico’s die gepaard gaan met de informatiebeveiliging/ privacybescherming? En zijn zij op de hoogte van de maatregelen/regels die hierbij van toepassing zijn?
  • Hebben we een procedure voor het melden van datalekken?

Is dit allemaal in orde? Gefeliciteerd: u bent klaar voor de AVG!