25 mei 2018 – Het moment waarop de “General Dataprotection Regulation” (GDPR) – in Nederland de Algemene Verordening Gegevensbescherming (AVG) van kracht wordt. De tijd dringt en veel bedrijven maken zich zorgen of ze wel op tijd klaar zijn. Een onderzoek van PwC onder 327 organisaties wijst echter uit dat slechts 12 procent van de ondervraagde bedrijven klaar is voor de AVG. Dit terwijl de impact groot kan zijn. Dat vraagt om een praktische aanpak. De aanpak in dit artikel is ontstaan vanuit mijn ervaring met GDPR-projecten bij klanten.
Wat verandert er met de AVG?
De huidige Wet Bescherming Persoonsgegevens (Wbp) stamt uit 1995. Sindsdien is er veel veranderd. Technologische ontwikkelingen maken het mogelijk om meer informatie te halen uit dezelfde gegevens. Ook het volume van gegevens die dagdagelijks wordt verzameld en verwerkt is sterk vergroot en het is niet altijd duidelijk waar die gegevens zich bevinden, wie verantwoordelijk is en welke rechten er gelden. Veel van de bepalingen in de AVG bestaan al onder de huidige Wbp. Toch zijn er belangrijke wijzigingen. Een van de belangrijkste wijzigingen in de AVG is een toename van de rechten van individuen op de gegevens die over hen verzameld en verwerkt worden en dat voor de gehele Europese Unie dezelfde rechten gelden. Overige belangrijke wijzigingen zijn:
Wijziging van de definitie van persoonsgegevens – Onder de AVG worden meer gegevens als persoonsgegevens geclassificeerd. Denk hierbij aan IP-adressen, locatiegegevens of identificatiecookies die alleen of in combinatie ook naar personen herleidbaar zijn.
Toestemming – Onder de Wbp was het al noodzakelijk dat organisaties individuen om toestemming moesten vragen voor de opslag en verwerking van persoonsgegevens. Onder de AVG is dit verder aangescherpt. Verwerking mag alleen als er een grondslag en een doeleinde is (doelbinding). Zijn die er niet, dan dient er expliciet toestemming te worden gevraagd.
Verwerking door verwerker – Vindt de verwerking plaats door een externe verwerker, dan is een Verwerkingsovereenkomst verplicht. Ook dat is niet nieuw onder de AVG. Wel worden er specifieke vereisten gesteld aan deze verwerkersovereenkomst. Denk hierbij aan de verplichte melding van incidenten binnen 72 uur, de vereisten aan informatiebeveiliging en de rechten van betrokkenen.
Aanhouden van een eigen register van verwerkingen – Bedrijven en instellingen die persoonsgegevens verwerken dienen hiervan een eigen registratie bij te houden. Onder de Wbp diende de verwerking van persoonsgegevens in algemene bewoordingen aangemeld te worden bij Autoriteit Persoonsgegevens, die hiervan een registratie bij hield. Met de AVG zijn organisaties zelf verantwoordelijk voor het bijhouden van een actueel register. Ook als de verwerking door een externe verwerker plaatsvindt, dient dit uit de registratie naar voren te komen.
Rechten van betrokkenen – De rechten van betrokkenen nemen behoorlijk toe onder de AVG. Zo heeft een individu inzage recht, het recht om vergeten te worden, recht om zijn gegevens mee te nemen (dataportabiliteit) en het recht om de verwerking van zijn gegevens op te schorten. Rechten met een behoorlijke impact op veel systemen.
Aanstellen van een functionaris Gegevensbescherming – Onder de AVG zijn bedrijven en instellingen in sommige gevallen verplicht om een functionaris Gegevensbescherming aan te stellen. Een functionaris Gegevensbescherming is verplicht als de verwerking van persoonsgegevens: (1) door een overheidsinstantie wordt uitgevoerd of, (2) door een onderneming met meer dan 250 medewerkers of, (3) als de verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, omvang en/of doel regelmatig en stelselmatig observatie vereisen.
Verplichte uitvoering van PIA’s – Bij processen waar verwerkingen van persoonsgegevens plaatsvindt, dient een Privacy Impact Analyse te worden uitgevoerd. De risico’s van deze verwerking dienen in kaart te worden gebracht en passende maatregelen dienen te worden genomen. Het uitvoeren van de PIA’s is tot 25 mei 2018 overigens niet verplicht. Pas na 25 mei 2018 is het verplicht om op nieuwe processen een PIA uit te voeren. Een PIA is een vorm van risico-analyse. Het kan zeker geen kwaad om het privacyrisico nu al mee te nemen in de risico-analyse indien er nieuwe processen ontwikkeld worden. Zeker als hierin persoonsgegevens worden verwerkt.
Informatiebeveiliging – Beveiliging van persoonsgegevens wordt als mitigerende maatregel expliciet genoemd in de AVG. De informatiebeveiliging dient op orde te zijn. Er dienen passende technische en organisatorische maatregelen te worden genomen. Denk hierbij bijvoorbeeld aan encryptie van persoonsgegevens, het verzekeren van vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en het regelmatig testen van de getroffen maatregelen. Het belang van specifieke normenkaders zoals ISO 2700x, Nen7510 en Cobit nemen hierdoor verder toe. Bovendien dient bij de ontwikkeling van nieuwe toepassingen de privacy van persoonsgegevens als uitgangspunt te worden gehanteerd (privacy by design/ by default).
Meldplicht van datalekken – En als het dan toch voorkomt dat de getroffen maatregelen te kort schieten, is er de meldplicht datalekken waarbij incidenten binnen 72 uur aan de toezichthouder Autoriteit Persoonsgegevens gemeld dienen te worden. En deze meldplicht gaat ver. Incidenten waarbij brieven met persoonsgegevens verkeerd bezorgd zijn, print outs met gevoelige gegevens die van een printer zijn verdwenen of een memory sticks met persoonsgegevens die is verloren vallen allemaal onder de meldplicht en dienen daarnaast ook te worden gemeld aan betrokkenen. Ook als er incidenten plaatsvinden bij externe verwerkers dienen deze binnen 72 uur te worden gemeld door de verantwoordelijke.
Uitbreiding van de boetenbevoegdheid toezichthouder – Als laatste nemen de bevoegdheden van de toezichthouder Autoriteit Persoonsgegevens behoorlijk toe. Onder de WBP was er al de mogelijkheid van AP om boetes uit te delen. Met de komst van de AVG kunnen deze boetes oplopen tot 820.000 euro of 4% van de jaaromzet waardoor de risico’s op het niet voldoen aan de AVG voor bedrijven sterk toenemen.
Praktische, pragmatische aanpak
Om op 25 mei 2018 te kunnen voldoen aan de AVG is een praktische en pragmatische aanpak noodzakelijk. Veel aanpakken die hierover op het internet te vinden zijn, behandelen een aantal thema’s. Ook in de aanpak die wij hier beschrijven komen deze thema’s naar voren. Belangrijk uitgangspunt zijn uiteraard de persoonsgegevens: in welke systemen worden ze verwerkt en opgeslagen? Via welke processen vindt dat plaats? En zijn hier externe verwerkers bij betrokken? Om op deze vragen een antwoord te krijgen, starten wij met een nulmeting. Via een workshop met de business, IT en inkoop wordt hiervan een eerste beeld geschetst en de delta bepaald ten opzichte van de AVG. Dit is ook het moment om de prioriteiten te bepalen.
Na de nulmeting starten drie parallelle trajecten. Dit is schematisch weergegeven in de onderstaande figuur.
Overall traject – Overall is er een aantal zaken die, om te voldoen aan de AVG, aanwezig dienen te zijn. In sommige gevallen dient er een privacy officer te worden aangesteld, bijvoorbeeld als een bedrijf meer dan 250 medewerkers heeft. Er dient gestart te worden met een centraal register van verwerkingen. De resultaten van de nulmeting kunnen hiervoor een eerste input zijn. Het privacybeleid en het privacy statement dienen in lijn te worden gebracht met de AVG en er dienen mogelijk aanvullende procedures en werkinstructies opgesteld te worden, bijvoorbeeld om verzoeken door klanten, recht van inzake of het recht om vergeten te worden goed af te handelen.
Systeem traject – De rechten van klanten kunnen gevolgen hebben voor de bestaande systemen. Kan een systeem op een overzichtelijke wijze inzage gegeven in de verwerking van de persoonsgegevens van een individuele klant? Is het mogelijk op de verwerking tijdelijk op te schorten? Kunnen gegevens tijdig verwijderd worden? Slaat het systeem niet te veel gegevens op? Hoe registreren wij dat een klant gebruik maakt van bepaalde rechten uit de AVG? Dit zijn vragen waarop het systeem traject antwoord moet geven en of aanpassingen aan systemen, procedure en werkinstructie noodzakelijk zijn. Ook informatiebeveiliging is in dit traject een belangrijk object van onderzoek. Zijn de getroffen securitymaatregelen rond de persoonsgegeven voldoende.
Verwerkers traject – Het derde en laatste traject gaat in op de verwerkers. De nulmeting laat zien of er externe verwerkers betrokken zijn in de verschillende verwerkingen van persoonsgegevens. In het verwerkers traject brengen wij in kaart welke afspraken er met deze verwerkers gemaakt zijn. Welke contracten zijn er gesloten. Zijn er verwerkers overeenkomsten opgesteld en zijn de bepalingen hierin voldoende voor de AVG. Denk hierbij bijvoorbeeld aan afspraken over meldplicht datalekken en informatiebeveiliging. Hebben alle verwerkers de verwerker overeenkomsten getekend en kunnen zij ook aan alle afspraken voldoen.
Tot Slot
De kans dat de AVG gevolgen heeft voor uw organisatie is groot. De AVG gaat namelijk over alle registraties van persoonsgegevens, dus niet alleen van uw klanten maar ook van uw medewerkers. En bovendien is de definitie van een persoonsgegeven uitgebreid.
Voldoen aan de AVG kan veel tijd kosten. Zeker als systemen aangepast dienen te worden. Wacht dus niet te lang. Als uw bedrijf ondersteuning nodig heeft, kan Auditpeople u daarbij ondersteunen.
John Storms is zelfstandig consultant Information Risk Management
Bronnen:
- Whitepaper Europese Privacy Verordening – DeClercq.
- PWC onderzoek AVG
- Flyer AVG – Anticiperen op de Algemene Verordening Gegevensbescherming – ministerie van Veiligheid en Justitie
- VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD
- Privacy Impact Assessment – Handreiking Norea – https://www.norea.nl/download/?id=522