De tien stappen van de AVG

Waarom pentesten zo belangrijk is nu de AVG van kracht is

Op 25 mei 2018 werd de Europese wetgeving op de privacy van kracht. Een wet die moet zorgen dat organisaties, groot of klein, beter zorg gaan dragen voor persoonsgegevens ze verzamelen. Deze wet is de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG). Er bestaan heel wat vragen over deze wet, wat betekent deze verandering nu precies? De tien stappen van de AVG, hieronder uitgelegd.

Geen WBP meer maar GDPR

De GDPR (of AVG) vervangt de Wet bescherming persoonsgegevens (Wbp). De Wbp bevat de regels die de burger moet beschermen ten aanzien van privacy. In 2001 werd de Wbp ingevoerd en verving destijds de Wet persoonsregistratie uit 1989. De Algemene Verordening Gegevensbescherming (AVG) verving de Wbp al in 2016. Organisaties hadden echter tot 25 mei 2018 de tijd om aan deze nieuwe wet te voldoen en hun bedrijfsvoering aan te passen.

De 10 stappen naar GDRP

En dan? Hoe kan een organisatie voldoen aan de GDPR? En wat als een organisatie er niet aan voldoet? In deze blog beschrijven we de 10 stappen van de AVG.

1. Bewustwording

Alles begint bij bewustwording. Weet wat de impact is van de AVG op de beleidsvoering van de organisatie. Welke diensten en processen hebben te maken met de AVG?

Organisatie moeten hun personeel gaan trainen en opleiden. En dit moet herhaald worden zodat mensen zich constant bewust blijven. Zo kom je naar een hoger security plan.

2. Rechten van betrokkenen

De betrokkenen zijn in dit geval de mensen van wie de organisatie persoonsgegevens (data) verwerkt. Iedereen heeft namelijk recht op bijvoorbeeld het verwijderen van persoonsgegevens als hij of zij dat wil. De organisatie die de gegevens verwerkt moet hier gehoor aan geven.

Maar ook het inzien van de gegevens die de organisatie verwerkt hoort hierbij. Wordt hier geen gehoor aan gegeven dan kan iemand een klacht indienen bij de Autoriteit Persoonsgegevens (AP) en deze is weer verplicht de klacht te behandelen.

Ook dataportabiliteit hoort onder deze stap: het kunnen doorgeven van data van de ene organisatie naar de andere moet op een gemakkelijke wijze kunnen.

3. Overzicht verwerkingen

Een organisatie moet weten welke persoonsgegevens ze verwerken. Het moet geheel transparant zijn (voor verwerker en betrokkene) waarom zij dit doen (het doel) en met wie (derde partijen) zij deze gegevens delen. Iedere organisatie die persoonsgegevens verwerkt moet gedocumenteerd hebben hoe dit proces verloopt. De organisatie moet kunnen aantonen dat zij handelen volgens de AVG. Zie dit als de documentatieplicht.

Ook wanneer iemand vraagt gegevens te wijzigen of te verwijderen dan moet dit niet alleen bij de organisatie gedaan worden waar deze vraag neergelegd wordt maar ook bij de organisatie waarmee de gegevens worden gedeeld.

4. Data Privacy Impact Assessment (DPIA)

Wanneer er een verhoogd privacyrisico is kan het nodig zijn dat een organisatie onder de AVG een Data Privacy Impact Assessment moet uitvoeren. Dit kan wanneer er bijvoorbeeld:

  • profiling plaatsvindt;
  • de organisatie op een grote schaal bijzondere persoonsgegevens (gezondheid, politieke opvattingen, strafrechtelijke verleden) verwerkt;
  • de organisatie op een grote schaal personen volgt in het publieke domein.

Een organisatie is verplicht een DPIA uit te voeren als gegevensverwerking een (waarschijnlijk) verhoogd privacyrisico bevat. Het is van belang dat de organisatie de resultaten die uit de DPIA komen aapaktn. Lukt dit niet? Dan moet zij dit bij de AP melden en kan deze beoordeelden of de huidige manier van gegevensverwerking in strijd is met de AVG.

5. Privacy by design & privacy by default

Hoewel bewustzijn (stap 1) zorgt dat de organisatie zich bewust wordt van de mogelijke gevaren met betrekking tot het verwerken van persoonsgegevens is het goed om privacy te embedden in het ontwikkelen van diensten of producten. Als een organisatie een product ontwikkelt is het van belang dat privacy vanaf het ontwerp wordt meegenomen in de ontwikkeling van het product. Privacygevoelige data moet men vanaf het begin beschermen.

Privacy by default moet er juist voor zorgen dat persoonsgegevens beschermd worden door maatregelen te nemen die er voor zorgen dat standaard alleen die gegevens verwerkt worden die daadwerkelijk van belang zijn. Niets meer. Zo kan het doel (stap 3) veel beter gesteld worden (waarom verzamel je gegevens? En waarom juist deze?). Denk bijvoorbeeld aan websites die standaard vinkjes aan hebben staan bij “nieuwsbrief ontvangen”.Dit mag straks niet meer. En ook als iemand een nieuwsbrief wil ontvangen mag de organisatie alleen de gegevens vragen die voor het ontvangen van deze nieuwsbrief van belang zijn.

Bij iedere stap in het ontwerpen van bijvoorbeeld nieuwe software moet men nadenken over de privacy van de gegevens de organisatie verwerkt.

6. Functionaris voor de gegevensbescherming

Het kan nodig zijn om een Functionaris voor de gegevensverwerking (FG) aan te stellen. Overheidsinstanties en publieke organisaties zijn dit overigens verplicht. Denk aan:

  • Rijksoverheid;
  • Provincies;
  • Gemeenten;
  • Zorginstellingen;
  • Onderwijsinstellingen.

De organisatie kan een FG intern aanstellen, maar het kan ook iemand zijn die vanuit een externe organisatie komt. Dit is aan de organisatie zelf.

7. Meldplicht datalekken

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Alle organisaties waar een ernstig datalek is moeten dit melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen waarvan de data gelekt is. Ieder kwartaal (vanaf 2017) wordt er een lijst gepubliceerd met de gemelde datalekken. De meldplicht datalekken geeft aan dat alle datalekken verplicht moeten worden gedocumenteerd. Hiermee controleert de AP of er voldaan is aan deze meldplicht.

8.  Bewerkersovereenkomsten

Organisaties die niet zelf de verzamelde persoonsgegevens verwerken maar dit uitbesteden zijn met de AVG verplicht een bewerkersovereenkomst te hebben. Dit was al het geval. Echter, men moet kijken of de contracten die er nu zijn afdoende zijn met betrekking tot de AVG.

9. Leidende toezichthouder

Een organisatie die meerdere vestigingen heeft in één of meer EU-lidstaten hoeft volgens de AVG nog maar met één privacytoezichthouder rekening te houden. Dit is dan de leidende toezichthouder (lead supervisory authority). In regel is dat de EU-lidstaat waar de hoofdvestiging is gevestigd van de organisatie die de persoonsgegevens verwerkt de leidende toezichthouder is.

Uiteraard wordt er samengewerkt tussen de toezichthouders.

10. Toestemming

Alle organisaties die persoonsgegevens verzamelen en verwerken moeten kunnen aantonen dat de verkregen data met toestemming is verkregen. Een organisatie moet kunnen aangeven hoe dit gevraagd, verkregen en geregistreerd is. Het moet andersom voor een persoon ook gemakkelijk zijn om de volledige toestemming weer op te heffen wanneer hierom gevraagd wordt aan de organisatie die gegevens verzamelt.

En wat als je niet GDPR compliant bent?

Dan zijn er de boetes. En die zijn niet mals. De maximale boete is 20 miljoen euro of 4% van de gehele jaarlijkse omzet (wereldwijd). De GDPR/AVG komt eraan. Dit waren de tien stappen van de AVG. Wees voorbereid. Wij helpen je graag. Neem contact met ons op via deze link.