Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
De AVG komt er aan. Wat betekent dat voor u?

De AVG komt er aan. Wat betekent dat voor u?

4 April 2018 door in Security

Eind 2015 is de nieuwe Europese wet omtrent de bescherming van persoonsgegevens aangenomen door het Europees Parlement. Deze nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR) zal vanaf 25 mei 2018 formeel van kracht worden. Veel van de principes in de nieuwe wetgeving zijn vergelijkbaar met die van de bestaande Wet bescherming persoonsgegevens (Wbp), dus als u daar al aan voldoet zult u waarschijnlijk uw huidige beleid voor een groot deel kunnen overnemen voor de nieuwe situatie. Er zijn echter wel nieuwe onderdelen en aanscherpingen, waardoor u vermoedelijk bepaalde zaken anders moet gaan doen of nieuw in moet gaan richten.

De AVG legt meer nadruk op het verzamelen en documenteren van persoonsgegevens en het kunnen afleggen van verantwoording hierover. In dit artikel benoemen wij een aantal stappen die u kunt doorlopen om u ervan te verzekeren dat u uw beleid en procedures op orde heeft. Voor sommige organisaties zal de impact groter zijn dan voor andere, dus kijk kritisch naar waar uw business het meest wordt geraakt.

Inventariseer en classificeer uw persoonsgegevens

De impact van de GDPR op uw organisatie is voor een groot deel afhankelijk van het soort data dat u verzamelt van uw gebruikers, klanten en eigen personeel. Elk type (persoonlijke) informatie vraagt om een specifieke aanpak bij het verzamelen, opslaan, beveiligen, beheren en verwijderen ervan.

Kijk goed welke persoonsinformatie u opslaat en vraag uzelf goed af of dat daadwerkelijk nodig is voor uw bedrijfsvoering. Hou deze informatie bij in een zogenaamd verwerkingsregister. Als u mogelijk persoonsgegevens verzamelt van minderjarigen, dient u ervoor te zorgen dat u dat weet en dat expliciete toestemming van ouders of voogden vereist kan zijn. Als u werkt met extra gevoelige informatie (bijzondere persoonsgegevens), zoals gegevens over ras, godsdienst of gezondheid, dient u zich hier extra bewust van te zijn en strenge beveiligingsmaatregelen te nemen (als u die nog niet hebt genomen). In dergelijke gevallen (als de privacy risico’s hoog zijn) bent u verplicht een Privacy Impact Assessment (PIA) uit te voeren.

Als u persoonsgegevens heeft waar derden toegang toe hebben of die u exporteert naar een derde partij, dient u dit te beschrijven in uw verwerkingsregister. De data die u deelt met derden dient u vast te leggen in een verwerkersovereenkomst, waarin u ook aangeeft wat de reden is waarom deze gedeeld worden. Als Cyso het beheer voert over uw systemen en u werkt met persoonsgegevens op die systemen, is het met klem aan te raden om dit te inventariseren en vast te leggen in een verwerkersovereenkomst die u met Cyso afsluit.

Uw privacybeleid en de manier waarop u omgaat met gegevens dient te allen tijde transparant te zijn en gemeld te worden aan iedereen waar u gegevens over verzamelt.

Creëer bewustzijn binnen uw organisatie

De AVG raakt niet alleen uw IT-afdeling. Het is van belang dat iedereen binnen uw organisatie zich bewust is van de gegevens die zij onder ogen krijgen en waar zij mee werken. Onafhankelijk van iemands functie krijgt men weleens te maken met persoonlijke informatie. Het creëren van bewustzijn hiervan en de veranderingen die de AVG veroorzaakt, dienen door te dringen bij alle afdelingen en functies binnen uw organisatie. Zorg niet eenmalig voor bewustzijn bij indiensttreding van een nieuwe collega, maar denk ook aan regelmatige herhaling en het aanbieden van trainingen en cursussen.

Evalueer technieken en processen

Het opslaan en bewaren van gegevens betreft zowel technische systemen als het beleid en de bedrijfsprocessen erdoor geraakt worden. Er zijn een aantal zaken die u dient in te richten:

Opslag, beveiliging en encryptie

U moet een veilige en betrouwbare plek kiezen om de data van uw klanten op te slaan. Van de data dient u een back-up in te richten of een andere manier om gegevensverlies of beschadiging te voorkomen. Veilige opslag van persoonsgegevens vraagt eigenlijk altijd om versleutelde opslag en toegang daartoe. De wijze waarop u dat inricht kunt u in principe zelf kiezen, maar u dient wel te zorgen voor maatregelen die passen bij het type persoonsgegevens.

Omgang met datalekken

Ondanks dat u dit uiteraard probeert te voorkomen, dient u wel voorbereid te zijn op hoe te handelen in het geval van een datalek. U bent wettelijk verplicht datalekken te registreren en te melden, zowel aan de betrokken partij van wie gegevens zijn ontvreemd als aan de Autoriteit Persoonsgegevens. Stel dus beleid hiervoor op en richt de bijbehorende procedures in.

Koppelen en verwijderen van data

Alle persoonsgegevens die u verzamelt en koppelt aan uw klanten dient u te beschrijven en te classificeren. Dit beleid moet transparant zijn voor de betreffende gebruikers zodat deze weet welke gegevens u van hem of haar bijhoudt. Daarnaast geldt het zogenaamde “recht op vergetelheid” (“right to be forgotten”). Als iemand daarom vraagt moet u in bepaalde gevallen in staat zijn om persoonlijke gegevens te verwijderen. Gegevens die u wettelijk verplicht bent te bewaren (bijvoorbeeld voor uw boekhouding) vormen hierop onder andere een uitzondering. Leg altijd de bewaartermijnen vast in uw beleid.

Actueel houden van gedeelde gegevens met derden

Verzamelt u data die u ook deelt met derden? Zoals gezegd hoeft dat op zichzelf geen probleem te zijn, maar u dient daar zeer bewust mee om te gaan. U dient ervoor te zorgen dat niet alleen uw eigen gegevens up-to-date blijven, maar dat u wijzigingen ook doorgeeft aan deze derde partijen.

Privacy by Design

Zorg ervoor dat u bij alles wat u inricht het principe privacy by design nastreeft. Bij elk systeem of proces dat u ontwerpt en implementeert behoort bescherming van persoonsgegevens een integraal onderdeel te vormen.

Opvragen en overdragen van persoonsgegevens

Onder de AVG geldt ook dat individuen hun digitale persoonsgegevens moeten kunnen opvragen en dat dit gebeurt op een zodanige manier dat zij overdraagbaar zijn aan een andere organisatie (dataportabiliteit). Gegevens moeten dus in een gestructureerd, veelgebruikt en machineleesbaar formaat verstrekt kunnen worden.

Wijs een beveiligingsverantwoordelijke aan

Voor organisaties met 250 of meer medewerkers is het aanwijzen van een Data Protection Officer verplicht. Maar ook voor kleinere organisaties is het aan te raden om iemand formeel verantwoordelijk te maken voor naleving en compliance. Het is bijzonder verstandig dat er minimaal één persoon is die op de hoogte is en blijft van de regelgeving en nieuws en ontwikkelingen hierin blijft volgen. Deze medewerker zal voldoende kennis technische expertise moeten hebben; niet per definitie om alles zelf uit te voeren, maar wel om de kwaliteit en naleving van de genomen maatregelen goed te kunnen beoordelen.

Review en verfijn

De voorbereidingen en maatregelen die u neemt voor de AVG zijn uiteraard belangrijk, maar ook slechts een begin. Zijn deze maatregelen namelijk genomen, dan vormen zij ook daarmee de mogelijkheid tot een doorlopende evaluatie en verbetering van uw bedrijfsprocessen die betrekking hebben op data en governance. Zorg daarom voor een periodieke review van het beleid en de implementatie en maak aanpassingen waar dat gewenst is.

Business to business en de AVG

Officieel is de AVG niet van toepassing op rechtspersonen (business to business). Echter, zodra de gegevens die u bijhoudt iets zeggen over een identificeerbaar individu, zijn het alsnog persoonsgegevens en vallen deze binnen de scope van de AVG. Als u zakelijke e-mailadressen of telefoonnummers registreert die aan een specifieke persoon zijn gekoppeld (niet een afdeling) vallen deze wel onder de regelgeving, evenals bijvoorbeeld omzetcijfers van een VOF of ZZP’er.

Meer weten?

Cyso is al jaren ISO 27001, ISO 20000 en NEN 7510 gecertificeerd en heeft daardoor een aantoonbaar, professioneel beveiligingsbeleid en servicemanagementbeleid en maatregelen om dit te waarborgen. Voor de invoering van de AVG nemen ook wij aanvullende maatregelen om aan de extra eisen te voldoen die dit met zich meebrengt.

Wij kunnen onze klanten eveneens adviseren bij het realiseren van hun eigen AVG compliancy. Wij kunnen adviseren en ondersteunen bij classificatie van uw data en het nemen van passende, extra beveiligingsmaatregelen. Neem contact op met uw accountmanager om uw situatie te bespreken.


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider