Sinds 1986 83% dezelfde dag verholpen Budgetteerbare oplossingen!
Blog
mei 03
AVg ICT

In 3 minuten up-to-date over: privacywetgeving AVG (Algemene Verordening Persoonsgegevens)

  • 3 mei 2018

Vanuit Becs hebben wij een tweetal bijeenkomsten georganiseerd omtrent de Algemene Verordening Gegevensbescherming (AVG 2018), die op 25 mei 2018 van kracht zal worden. Op deze bijeenkomsten hebben wij Het Privacy Huys een podium gegeven om onze klanten te informeren over: privacy, (elektronische) beveiliging van persoonsgegevens en data(lekken).

Via dit artikel willen wij nogmaals informatief optreden voor iedereen die kennis wilt vergaren over: concrete eisen die de verordening stelt, (bedrijfsmatige)rollen die u mogelijk vervult, het verschil tussen beveiliging en privacy en de nodige tips delen. Voor een helder perspectief leest u in de hierop volgende alinea kort nog over de Wet bescherming persoonsgegevens (2001), die ten grondslag ligt aan de AVG. *dit artikel is geschreven om kennis te delen met, het is geen (juridisch) advies. Voor professioneel advies raden wij u aan om contact op te nemen met een professionele partij, zoals bijvoorbeeld het Privacy Huys.

In 2001 is de Wet bescherming persoonsgegevens van kracht geworden. De wet voorziet in de bepaling dat persoonsgegevens alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier mogen worden verwerkt. De Algemene Verordening Gegevensbescherming zal de Wbp vervangen. Het principe blijft hetzelfde, maar de verantwoordelijkheid voor organisaties m.b.t. de omgang en beveiliging van persoonsgegevens zal groter worden. De Autoriteit Persoonsgegevens houdt toezicht op naleving van de gestelde regels. Daarbij kunnen zij handhavend optreden door het opleggen van boetes. De regels gelden voor alle bedrijven die zaken doen in de EU.

Welke rollen zijn aanwezig binnen de AVG?

De verordening voorziet een drietal rollen, te weten: betrokkene, verantwoordelijke en verwerker. Hieronder ziet u enkele concrete voorbeelden van wat dat in de praktijk zou kunnen betekenen.

AVG rollen als onderneming voor uw klanten of relaties

Tijdens één van onze bijeenkomsten is direct een helder issue aan bod gekomen. Het kan voorkomen dat een bedrijf of instantie waaraan u persoonsgegevens aanlevert, data lekt. In dat geval bent u als leverancier van die persoonsgegevens verantwoordelijk. Aan dit voorbeeld verbinden wij direct de eerste tip: controleer of uw partners (verwerkers) voldoen, of op korte termijn kunnen voldoen aan de AVG normen.

Idealiter wordt een verwerkersovereenkomst opgesteld tussen dienstverlener en verwerker. In de verwerkersovereenkomst moeten een aantal zaken helder beschreven worden: hoe worden persoonsgegevens verwerkt, op welke manier er beveiligd wordt, wie rechten heeft om persoonsgegevens te exporteren, een geheimhoudingsclausule, hoe omgegaan wordt met datalekken en de teruggave / bewaartermijn van persoonsgegevens. Als voorbeeld kunnen wij onze eigen organisatie nemen. Als IT-partner hebben wij vanuit Becs IT services de rol van verwerker voor onze klanten. Met die reden krijgen al onze klanten een verwerkersovereenkomst toegezonden. Dit stelt onze klanten in staat om in elk geval op het  onderdeel; verwerkersovereenkomst compliant te zijn.

Samenhang tussen privacy, beveiliging & datalekken

‘’Privacy wordt in deze betiteld als de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder toestemming die informatie te verwerven.’’

Het is dus verboden om persoonsgegevens buiten de wettelijke richtlijnen op te slaan. Als er persoonsgegevens worden opgeslagen, dan dient men de persoon in kwestie te informeren waarom, met welk doel en hoe lang dat de gegevens worden opgeslagen. Binnen de AVG normen wordt onderscheid gemaakt tussen verschillende type persoonsgegevens, namelijk: NAW gegevens, bijzondere persoonsgegevens en gevoelige persoonsgegevens. Deze categorieën hebben betrekking op de manier van beveiligen en meldplicht.

U kunt zich voorstellen dat het lekken van een e-mail adres een andere impact heeft dan het lekken van een medisch dossier. Bijzondere of gevoelige gegevens zullen ook passend beveiligd moeten worden. Een methode om documenten veilig op te slaan, is bijvoorbeeld het gebruik maken van een 2-factor authenticatie. Bovenal raden wij een wachtwoordbeleid voor uw organisatie aan.

Bij het lekken van persoonsgegevens rust er een meldplicht bij de verantwoordelijke. Het kan bijvoorbeeld voorkomen dat u een e-mail verstuurt met een aantal ge-cc’de adressen van personen welke geen persoonlijke- of werkrelatie hebben. Ook het vernietigen van persoonsgegevens valt onder de definitie datalek. Er zal in het geval van vernietiging dus ook een notificatie naar de betreffende persoon verstuurt moeten worden.

Wanneer meldt u een datalek en aan wie?

Er heeft zich een beveiligingslek voorgedaan, in de volgende gevallen gaat er zo mee om:

1. Er zijn bij het incident persoonsgegevens verloren gegaan, of onrechtmatige verwerking is redelijkerwijs niet uit te sluiten (nu is er sprake van een datalek)

2. Als het om persoonsgegevens van gevoelige aard gaat, of er is om een andere reden sprake van een aanzienlijke kans op (ernstige) nadelige gevolgen voor de bescherming van de verwerkte persoonsgegeven. à Melden aan de Autoriteit Persoonsgegevens.

3. Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? à Melden aan de betrokkene.

 B2B vs. B2C en ondernemingen die extra aandacht verdienen

Heeft u voornamelijk andere ondernemingen als klant, dan heeft u vooral te maken met de persoonsgegevens van uw eigen personeel, tenzij u ook verwerker bent van persoonsgegevens van derden. Wanneer u producten of diensten verkoopt aan consumenten zult u buiten uw personeelsgegevens ook zorg moeten dragen voor de persoonsgegevens van uw directe klanten. Ondernemingen die voornamelijk te maken hebben met bijzondere of gevoelige persoonsgegevens, zoals: (para)medici, advocatenbureaus, assurantiekantoren, die verdienen extra aandacht. In deze gevallen is het aan te raden om contact op te nemen met een professionele adviseur omtrent de AVG wetgeving.

Tips om compliant te worden:

  • Creëer bewustwording en draagvlak binnen uw organisatie over privacy;
  • Formuleer doelen, beleid (protocollen) en gedragsregels;
  • Vraag partners (derden die informatie van u ontvangen met persoonsgegevens) om zwart op wit aan te geven of zij compliant zijn met de AVG regelgeving. U blijft namelijk verantwoordelijke voor persoonsgegevens die door u verstrekt worden. Ook als deze gelekt worden bij een derde partij;
  • Heeft u dagelijks te maken met gevoelige of bijzondere persoonsgegevens, dan is het aan te raden met een professionele partij in zee te gaan;
  • Maak privacy bespreekbaar op directieniveau. Documenteer besprekingen over privacy. Zo kunt u aantonen dat u als onderneming dit onderwerp serieus neemt;
  • Verander wachtwoorden met regelmaat en beveilig bijzondere en / of gevoelige persoonsgegevens door 2-factor authenticatie;
  • Maak gebruik van encryptie bij het versturen van persoonsgegevens;

 

Blijf up-to-date: schrijf u in voor onze nieuwsbrief. Wij informeren u dan als eerste over noviteiten en onze events.