MAAK UW ORGANISATIE AVG-PROOF IN 9 STAPPEN
De Europese Unie nam 2 jaar geleden een nieuwe wet aan om persoonsgegevens beter te beschermen: de GDPR, oftewel de General Data Protection Regulation. In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. De wet treedt 25 mei 2018 in werking; vanaf dat moment moet iedereen binnen de Europese Unie aan dezelfde privacywetgeving voldoen. Veel bedrijven blijken hier echter nog niet klaar voor te zijn. Geldt dit ook voor u? Lees dan welke stappen u moet nemen om uw organisatie AVG-proof te maken.
Wat is de AVG?
De Algemene Verordening Gegevensbescherming vervangt de Wet bescherming persoonsgegevens (Wbp) en is hier eigenlijk een aanscherping van. Met als doel de privacyrechten beter te beschermen, zorgt de AVG ervoor dat:
- privacyrechten sterker en uitgebreider worden,
- organisaties meer verantwoordelijkheden krijgen,
- alle Europese privacytoezichthouders dezelfde bevoegdheden krijgen, incl de bevoegdheid om fikse sancties op te leggen bij niet-naleven van de wet.
Wat zijn de belangrijkste gevolgen voor organisaties?
De AVG geeft mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Dat heeft voor bedrijven nogal wat gevolgen. De AVG brengt zowel positieve als negatieve aspecten met zich mee. Om met het goede nieuws te beginnen: de AVG zorgt ervoor dat u als bedrijf inhoudelijk beter bereik op uw marketingacties kunt realiseren, wat voor relatief lagere marketingkosten zorgt. En bent u in meerdere EU-lidstaten actief, dan biedt de AVG nog extra voordelen. Want omdat de wetgeving binnen de EU gelijkgetrokken is, is er een gelijk speelveld, hoeft u maar met één toezichthouder zaken te doen en heeft u minder administratieve kosten.
Toch ervaren de meeste bedrijven de AVG voornamelijk als ‘lastig’. Bescherming van gegevens is bij veel bedrijven lang een ondergeschoven kindje geweest. Veel bedrijven weten wel dat klanten rechten hebben, maar hoe ze die rechten moeten beschermen is vaak niet duidelijk. Ook is het vaak bij lang niet alle medewerkers duidelijk hoe ze met persoonsgegevens moeten omgaan.
Hoe maakt u uw organisatie AVG-proof?
Om uw organisatie AVG-proof te maken, dient u uw bedrijfsprocessen op de volgende 9 punten aan te passen:
- Privacy Impact Analyse (PIA)
- Verwerkingsregister
- Aantoonbare toestemming
- Privacy bij design / default
- Recht van betrokkenene
- Profiling
- Verwerkersovereenkomst
- Privacy Officer
- Bewustwording
Privacy Impact Analyse (PIA)
Implementeert u een nieuw softwaresysteem, ontwikkelt u een nieuw product of verbetert u een bestaand product? Bij elke ontwikkeling die u doorvoert moet u onderzoeken of de wijziging impact heeft op de privacygegevens die beheerd of opgevraagd worden. Dat kan middels een checklist of een plenaire sessie.
Een voorbeeld: stel dat u een nieuw spaarsysteem voor uw klanten bedenkt. Slaat u dan extra klantgegevens op? Of komen er naw-gegevens op de spaarpas? Zodra een ontwikkeling een privacy-aspect kent, dient u goed uit te zoeken welke aspecten er precies aan de orde komen, en of u die voldoende hebt geborgd via de nieuwe wetgeving.
Verwerkingsregister
U moet onder de nieuwe wetgeving te allen tijde aan de Autoriteit Persoonsgegevens kunnen aantonen waar u privacygevoelige informatie opslaat, wie daar verantwoordelijk voor is, wie er bij die informatie kan, wie het kan wijzigen en op welke manier. Dit dient u voor elke verwerking vast te leggen in een verwerkingsregister.
Aantoonbare toestemming
Wilt u de gegevens van uw klant voor een ander doel gebruiken dan het doel waarmee hij deze gegevens met u heeft gedeeld? Dan moet u vragen of hij daarmee akkoord is. U mag de vraag niet ‘tussen neus en lippen’ stellen, bijvoorbeeld als onderdeel van een hele set met vragen, maar u dient heel expliciet toestemming te vragen. Die toestemming moet u apart opslaan. En de klant moet altijd de mogelijkheid krijgen om zijn toestemming op een makkelijke manier weer in te trekken.
Privacy by design en privacy by default
Bij het ontwerpen van geautomatiseerde systemen moet u rekening houden met de privacygevoelige gegevens die daarbij aan de orde zijn. U mag niet meer gegevens verzamelen dan strikt noodzakelijk zijn voor het doel dat u wilt bereiken. En u mag de gegevens ook niet onnodig lang bewaren. Daarnaast moet u ervoor zorgen dat de klant een bewuste actie moet doen om te accepteren dat u zijn gegevens mag gebruiken. Een checkbox in een formulier mag dus niet ‘by default’ aangevinkt staan.
Recht van betrokkene
Uw klant heeft 3 verschillende soorten rechten. Hij of zij heeft:
- recht van inzage; uw klant moet kunnen zien welke gegevens u van hem heeft opgeslagen.
- recht van dataportabiliteit; uw klant moet een (geautomatiseerd) overzicht kunnen krijgen van alle gegevens die u van hem heeft opgeslagen, en hij heeft het recht dit door te geven aan een andere organisatie. Stel dat hij een schadeverzekering bij u heeft lopen voor zijn waardevolle bezittingen, dan mag hij de lijst met zijn bezittingen bij u opvragen en voorleggen aan een andere verzekeraar.
- recht om vergeten te worden; uw klant mag u vragen al zijn gegevens uit uw systemen te schrappen. Overigens moet daarbij wel de wettelijke minimale bewaartermijn in acht worden genomen.
Geautomatiseerd profileren
Ook het geautomatiseerd profileren (profiling) van uw klant op basis van zijn gegevens, moet onder de nieuwe wetgeving met aantoonbare toestemming gebeuren. Als een klant in het verleden heeft aangegeven ooit te willen verhuizen, mag u niet ineens ongevraagd een hypotheekaanbod naar hem mailen. U zult hem bewust om toestemming moeten vragen. Ook moet de klant altijd kunnen inzien op basis waarvan hij bepaalde gegevens ontvangt. Een ongevraagd aanbod per mail is niet toegestaan.
Verwerkersovereenkomst
Schakelt u een verwerker in voor uw salarisadministratie, of voor marketingacties waarbij klantgegevens verwerkt worden? Dan dient u er altijd voor te zorgen dat uw gegevensverwerker een gerechtvaardigde reden heeft om uw gegevens te gebruiken, óf u dient een verwerkersovereenkomst op te stellen om er zeker van te zijn dat deze verwerker conform de regels met uw gegevens en de gegevens van uw klanten omgaat.
Privacy Officer
Voor sommige organisaties is het onder de AVG verplicht om een Privacy Officer – ook wel Functionaris voor de gegevensbescherming – aan te stellen. Dit geldt bijvoorbeeld voor overheidsinstanties, zorg- en onderwijsinstellingen, maar ook voor organisaties die voor hun kernactiviteit veel gegevens vastleggen. Deze persoon zorgt dat regels goed nageleefd worden, hij promoot het veilig opslaan, gebruiken en versturen van gegevens, en hij functioneert als interne vraagbaak.
Bewustwording
Last but not least: u dient ervoor te zorgen dat iedereen binnen uw organisatie op de hoogte is en rekening houdt met alle aspecten van de privacywetgeving en daar ook naar handelt. Hierbij is ‘need to know’ een belangrijk principe. Uw medewerkers moeten zich er goed bewust van zijn welke gegevens ze echt nodig hebben. Hebben ze het niet nodig, dan hebben ze ook geen recht van inzage. Zien ze data die niet voor hen bedoeld is, dan horen ze dat te melden. En hebben ze bepaalde gegevens wel nodig, dan moeten ze daar zorgvuldig mee omgaan.
Hulp nodig bij het AVG-proof maken van uw organisatie?
Kunt u wel wat hulp gebruiken bij het herinrichten van de bovenstaande bedrijfsonderdelen? Accedis ondersteunt u graag bij de implementatie van de diverse AVG-maatregelen. U kunt ons bijvoorbeeld inzetten als implementatiemanager of projectleider. Ook kunnen onze business- en systeemanalisten u goed helpen bij onderwerpen als privacy by design en privacy by default.
Geïnteresseerd? Neem dan contact met ons op en mail naar info@accedis.nl, wij vertellen u graag over de verschillende mogelijkheden. U kunt ons natuurlijk ook telefonisch bereiken op 023 562 7555.
-Accedis levert als detacheringsbureau diensten op het gebied van informatievoorziening-