Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. Vanaf het moment dat de AVG definitief in werking treedt, moet elke organisatie kunnen aantonen dat het in overeenstemming met de verordening handelt. Is dat niet het geval, dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal € 20 miljoen of 4% van de wereldwijde omzet. 11 tips voor de laatste 11 weken!
1 Creëer bewustwording onder de medewerkers
Om te kunnen voldoen aan de AVG is het van groot belang dat alle medewerkers op de hoogte zijn van de nieuwe regels. Zij moeten goed op de hoogte zijn hoe en wanneer zij persoonsgegevens mogen verwerken, maar ook wat zij moeten doen indien zich een datalek voordoet. Maak duidelijk wat de nieuwe privacyregels inhouden en welke invloed die hebben op de huidige processen, diensten en goederen die de organisatie levert. Medewerkers moeten weten dat klanten waarvan persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten krijgen. Hoewel de AVG hiertoe niet verplicht, is het ten zeerste aan te raden om te investeren in trainingen om de bewustzijn binnen de organisatie te vergroten. Alleen dan is het mogelijk de regels uit de AVG goed te borgen.
2 Leg de manier van gegevensverwerkingen vast
Organisaties hoeven hun verwerkingen onder de AVG niet te melden aan de Autoriteit Persoonsgegevens (AP) maar hebben wél een register- en documentatieplicht. Dit houdt in dat een overzicht van alle verwerkingen van persoonsgegevens moet worden bijgehouden én dat beheersmaatregelen, i.v.m. privacy- bestendigheid van processen, voorhanden moeten zijn. Vanuit de documentatieplicht moet je aan kunnen tonen dat er volgens de nieuwe regels gewerkt wordt. Breng in kaart hoe er in jouw organisatie met persoonsgegevens wordt omgegaan en op welke grondslag de gegevens worden verzameld (en of die grondslag nog wel voldoet). Vergeet bovendien niet vast te leggen wat de doeleinden zijn van de gegevensverwerking, wat de bewaartermijnen bedragen, van welke systemen gebruik wordt gemaakt en wat de getroffen beveiligings- en beheersmaatregelen zijn.
3 Integreer privacy by design en privacy by default
Volgens de AVG moeten organisaties 'privacy by design' en 'privacy by default' toepassen. Privacy by design houdt in dat bij het ontwerp van producten en diensten rekening met de privacy van de gebruiker wordt gehouden en dat geen data wordt verzameld die niet essentieel is voor de werking. Privacy kan niet langer aan het einde van het project iets zijn waar we nog ‘even wat mee moeten’. In plaats daarvan wordt het een onderwerp dat vanaf de conceptfase tot aan de oplevering een rol speelt voor iedereen in het team. Privacy by default vereist dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn. Privacy is de nieuwe standaard en het delen van je gegevens wordt optioneel. Alle organisaties zullen dus per applicatie of functionaliteit moeten beoordelen of hun standaardinstellingen wel privacy vriendelijk genoeg zijn.
4 Maak afspraken met dataverwerkers
Als jouw organisatie gebruik maakt van de diensten van een derde partij, die persoonsgegevens ten behoeve van jouw organisatie verwerkt, dan dien je met deze partij bindende verwerkersafspraken te maken. De verantwoordelijkheid van het vastleggen van die afspraken liggen daarbij niet bij de verwerker, maar bij de organisatie zelf. De verwerker zal in veel gevallen in bezit zijn van standaard templates, maar dit moet eerder gezien worden als extra service dan als verplichting. Een ander groot misverstand is dat hiertoe áltijd een verwerkersovereenkomst moet worden gesloten. In de AVG staat dat goede en bindende afspraken ook kunnen blijken uit andere rechtshandelingen, mits voldaan wordt aan enkele vereisten. Het onderwerp en de duur van de verwerking, maar ook de aard en het doel, het soort persoonsgegevens, de categorieën van betrokken en de rechten en de plichten van de bewerker moeten duidelijk omschreven worden in afspraken. Ga dus na of je wel met alle verwerkers verwerkersafspraken heeft gemaakt en of deze geüpdate moeten worden naar de regels van de AVG.
5 Toestemming voor verwerking
Evalueer de manier waarop je mensen toestemming vraagt voor het verwerken van hun persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop je toestemming vraagt, krijgt en registreert. Want je moet later kunnen aantonen er geldige toestemming van mensen is gekregen voor het sturen van bijvoorbeeld een nieuwsbrief of reactie per telefoon. Dit hoeft overigens niet alleen schriftelijk; ook het vastleggen van een mondelinge toestemming is voldoende zolang het maar een duidelijke een eenduidige toestemming is. Wees eerlijk over je intenties en laat mensen weten dat ze na het downloaden van jouw ‘gratis’ whitepaper mogelijk nog meerdere keren per e-mail en telefoon worden benaderd. En gebruik geen vooraf aangevinkte checkboxes, opt-out of standaardinstellingen meer.
6 Update de website
Na het inventariseren en registreren van mogelijk privacy gevoelige gegevens en het aanpassen van de manier waarop data wordt vergaard, is het tijd om de cookie- en privacy policy onder de loep te nemen. Naast dat je eerlijk en transparant moet zijn over de wijze waarop data wordt vergaard en opgeslagen én met welk doel, moet dat ook nog eens in heldere taal gebeuren. Hou er rekening mee dat de privacywet meer soorten informatie als privacygevoelig beschouwt. Gegevens die zijn gekoppeld aan IP-adressen, MAC-adressen, cookies en dergelijke vallen onder de wet, ook als de persoon achter de cookie (nog) niet bekend is.
7 Gebruik de Privacy Impact Assessment
Een goede tool om de regels van de AVG te volgen, is de Privacy Impact Assessment (PIA), een preventief instrument om risico’s in kaart te brengen. Overigens niet alleen heel praktisch, maar een verplicht onderdeel van de nieuwe wet om privacyrisico’s van gegevensverwerking vooraf in kaart te brengen indien sprake is van high risk-informatieverwerking. De PIA moet dan ook worden uitgevoerd indien gelet op de aard, omvang, context en doeleinden van de verwerking een hoog risico bestaat voor de rechten en vrijheden van personen. Gesproken kan worden van high risk als persoonsgegevens-verwerking kan resulteren in bijvoorbeeld ernstig lichamelijk letsel, materiële schade, reputatieschade, identiteitsdiefstal enzovoorts. Ook wanneer er geen harde verplichting bestaat voor een PIA kan het nuttig zijn er toch een uit te voeren om zodoende zicht te krijgen op mogelijke privacyrisico’s.
8 Zorg voor procedures voor nieuwe extra rechten
Onder de nieuwe wet krijgen betrokkenen meer rechten dan voorheen. Zo hebben ze het recht op inzage, op bezwaar, om gegevens te laten wijzigen, om gegevens te laten verwijderen, om verwerking te pauzeren en om zijn of haar gegevens te ontvangen om deze over te kunnen dragen (dataportabiliteit). In potentie kan dit een enorme hoeveelheid werk met zich meebrengen, zeker als je je bedenkt dat je ook nog eens binnen 30 dagen aan zo’n verzoek moet voldoen. Maar dit is ook een kans om orde op zaken te stellen. Voor sommige bedrijven kan het goed zijn systemen te koppelen en middels een interface aan te bieden zodat een gebruiker zelf de controle krijgt. Voor andere bedrijven kan een verzoek per email, telefoon of post de voorkeur hebben. Aan de wijze waarop je aan het verzoek voldoet zijn geen eisen verbonden, als je maar binnen 30 dagen acteert en in heldere taal over dit proces communiceert.
9 Maak een protocol voor meldplicht datalekken
Stel een procedure vast voor het melden van datalekken, zodat voor iedereen binnen de organisatie duidelijk is welke stappen genomen moeten wanneer er sprake is van een datalek. Voor elk lek, indien data al dan niet opzettelijk verloren gaat, moet melding worden gemaakt bij de AP binnen 72 uur na ontdekking. Zorg dus voor een goed datalekkenbeleid, waarin procedures duidelijk staan omschreven. Zo weet je wat je te doen staat indien je onverwachts wordt geconfronteerd met een datalek en er snel gehandeld moet worden. Van belang is dat alle medewerkers op de hoogte zijn van de meldplicht datalekken en de termijn die voor een melding staat.
10 Benoem een functionaris gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris gegevenbescherming (FG) aan te stellen die in de gaten houdt of de organisatie de AVG naleeft. Dat geldt ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat ook bijvoorbeeld zorg- en onderwijsinstellingen. Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven. Tot slot maakt verwerking van bijzondere persoonsgegevens het organisaties verplicht om een FG te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden. Een FG helpt je bij het houden van toezicht op de naleving van de privacyregels, het inventariseren van gegevensverwerkingen, het bijhouden van gegevensverwerkingen, vragen en klachten van mensen binnen en buiten de organisatie afhandelen, interne regelingen ontwikkelen, adviseren over privacy by design en input leveren bij het opstellen of aanpassen van gedragscodes. Daarom kan het ook handig zijn een FG aan te stellen indien dit níet verplicht is. Een FG-functie kan overigens ook extern worden ingevuld.
11 Verhoog je databeveiliging
Veel van de bovenstaande tips hebben te maken met verantwoordelijkheden die, als het goed is, nooit van toegepast hoeven te worden. De AVG legt namelijk alleen vast dat er ‘passende’ maatregelen genomen moeten worden, maar er is geen actieve controle op de daadwerkelijke uitvoer van die maatregelen. Pas nadat er een incident plaatsvindt, zal er een mogelijke controle plaatsvinden om uit te zoeken wie er onzorgvuldig is geweest en wie er onverantwoordelijk is omgegaan met de data. Zowel de verantwoordelijke als de verwerker moet onder de AVG zorg dragen voor adequate technische en organisatorische beveiliging van systemen waarmee persoonsgegevens worden verwerkt. Het is dus belangrijk om voldoende beveiligingsmaatregelen te nemen om persoonlijke data te beschermen tegen verlies, aanpassing en ongeoorloofde verwerking. En controleer of de (cloud)software die je gebruikt voldoet aan de beveiligingsstandaarden.