AVG: zo zorgt u voor een goede privacyverantwoording

AVG: zo zorgt u voor een goede privacyverantwoording

DearBytesBlogCompliancyAVG: zo zorgt u voor een goede privacyverantwoording

dinsdag 6 maart 2018

privacyverantwoordingVoor veel organisaties is de Algemene verordening gegevensbescherming ( AVG ), ook wel GDPR genoemd, nog altijd een ver-van-mijn-bedshow. Denkt u ook: ‘die geldt toch niet voor mij?’ Dan zit u er hoogstwaarschijnlijk naast. Bijna alle organisaties verwerken immers gegevens van klanten, cliënten, inwoners of medewerkers. Dit zijn de tips hoe u zich goed kunt gaan voorbereiden.

De Autoriteit Persoonsgegevens biedt hulp met de tool ‘AVG-regelhulp’. Organisaties krijgen met een to-dolijst aangereikt wat zij nog moeten doen om aan de AVG te moeten voldoen. De zelftest is handig voor bedrijven die al bekend zijn met de Europese privacywet en de terminologie. Dat ligt anders voor bedrijven die nu pas voor het eerst met het onderwerp in aanraking komen. De gebruikte termen en het ‘boodschappenlijstje’ dat uit de regelhulp rolt, kunnen namelijk nogal overweldigend zijn.

Goede privacyverantwoording

Vanaf 25 mei 2018 moeten organisaties in ieder geval kunnen laten zien dat zij weten hoe ze compliance gaan regelen en welke stappen ze in welke volgorde zetten. Ze moeten kortom een goed ‘privacyverhaal’ hebben. Hoe u dat doet? Ik zet een aantal acties op een rij:

1. Krijg inzicht in het type persoonsgegevens dat u verwerkt

Dit is niet geheel toevallig de eerste stap in de AVG-regelhulp van de AP: breng in kaart welke gegevens u verwerkt. Zonder dit inzicht weet u niet welke AVG-regels van toepassing zijn.

De kans is groot dat uw organisatie persoonsgegevens verwerkt, maar misschien zitten daar zelfs wel bijzondere persoonsgegevens bij. Dat kunnen gegevens zijn die iets zeggen over iemands gezondheid, ras, geloof of seksuele voorkeur. Er is al sprake van een verwerking van bijzondere persoonsgegevens als u ziekteverzuim registreert.

2. Inventariseer de datastromen

Zoals de AP in zijn regelhulp terecht opmerkt: verwerkingen van persoonsgegevens zijn zelden incidenteel. Denk alleen maar aan de gegevens die een bedrijf verwerkt van zijn eigen medewerkers, zoals naw-gegevens, gezondheidsgegevens of foto’s. Het gevolg is dat onder de AVG vrijwel iedere organisatie een ‘register van verwerkingsactiviteiten’ moet bijhouden.

Het aanleggen van een verwerkingsregister kan best een flinke klus zijn, zeker als u niet goed weet waar persoonsgegevens worden verwerkt. Persoonsgegevens kunnen bijvoorbeeld zitten in financiële datastromen, in klantstromen, in de eigen hr-stromen of buiten de organisatie. Daar komt u alleen achter als u op onderzoek uitgaat. Bijvoorbeeld door alle afdelingen te vragen de eigen datastromen op papier te zetten en die informatie bij elkaar te brengen.

Ook moet in het verwerkingsregister staan op welke ‘grondslag’ u persoonsgegevens verwerkt. U heeft onder meer een goede reden als de betrokkene in alle vrijheid toestemming heeft gegeven voor de verwerking. Weet wel dat u behoorlijk veel expertise en kennis van de wetgeving moet hebben om te bepalen of een verwerking de juiste grondslag heeft. Dat kan lastig zijn als de grondslag niet evident is. Evident is bijvoorbeeld bij een verwerking op basis van een overeenkomst.

3. Maak de juiste afwegingen

De AVG dwingt een organisatie tot keuzes. Is het bijvoorbeeld nodig om een functionaris voor de gegevensbescherming aan te stellen? En is het uitvoeren van data protection impact assessments (DPIA’s) verplicht?

De antwoorden op die vragen liggen niet altijd voor de hand. Zo is een DPIA verplicht als een gegevensverwerking ‘een hoog privacyrisico’ oplevert. Maar wanneer is er sprake van een hoog risico? Zowel de AVG als de regelhulp van de AP geven daar niet eenduidig een antwoord op.

4. Kijk waar u staat

Uiteindelijk gaat het erom dat alle data, waaronder persoonsgegevens, veilig en beschikbaar zijn. Niet alleen omdat de wet dit eist, maar ook omdat klanten, medewerkers en de business dit verwachten.

Het uitvoeren van een nulmeting is een goed startpunt om erachter te komen hoe uw security ervoor staat. Zo kan een ‘Privacy Quickscan’ veel inzichten verschaffen. Zo’n scan bekijkt onder andere aan welke vereisten uit de AVG u al wel of nog niet voldoet. Het resultaat is een actieplan waarmee u door de bomen het bos weer ziet. En dan blijkt de AVG minder eng dan u denkt.

5. Implementeer organisatorische en technische maatregelen

Aan de hand van een securityrisicoanalyse brengt u in kaart wat de meest relevante risico’s zijn voor de organisatie, en welke maatregelen nodig zijn om die risico’s af te dekken. De bevindingen komen ook terug in een uitgebreid risk report voor informatiebeveiliging.

In de regelhulp geeft de AP al heel wat voorbeelden van ‘noodzakelijke’ technische en organisatorische securitymaatregelen. Als voorbeelden van technische maatregelen noemt de privacywaakhond patchmanagement, het up-to-date houden van software, versleuteling van gegevens en het gebruik van firewalls en toepassing van netwerksegmentatie. Voorbeelden van organisatorische maatregelen zijn het bevorderen van het beveiligingsbewustzijn, het regelmatig controleren van logbestanden en het sluiten van verwerkersovereenkomsten.

Toon uw plannen

Ook voor dit laatste punt geldt weer dat veel organisaties nog een lange weg te gaan hebben. Vaak is zelfs het beleidsdocument voor informatiebeveiliging niet aanwezig. Dit is echter zeker geen reden om bij de pakken neer te gaan zitten. Niets doen is geen optie. Als u meer wilt weten over de te nemen stappen om te voldoen aan de GDPR, kunt u deze whitepaper downloaden.

Wie nu gestructureerd aan de slag gaat, kan op 25 mei 2018 in ieder geval een plan laten zien dat leidt tot AVG-compliance. Of zoals de AP het in de introductie op de AVG-regelhulp zelf zegt: zorg ervoor dat u als organisatie een goed privacyverhaal heeft. Zodat privacybescherming gaandeweg ‘business as usual’ wordt.


Blog door Nandenie Moenielal, Sr. Security Consultant bij DearBytes/KPN