AVG – wet- & regelgeving: Wat te doen?

De algemene verordening gegevensbescherming (AVG)

25 mei 2018 komt steeds dichterbij. Dat is de datum waarop organisaties door klanten en medewerkers juridisch kunnen worden aangesproken op de naleving van de AVG, de algemene verordening gegevensbescherming. Dit is een Europese privacy verordening waarvoor organisaties 2 jaar de tijd hebben gekregen om zich voor te bereiden. De AVG is namelijk in mei 2016 in werking getreden.

De AVG is gericht op de privacybescherming van natuurlijke personen (jij en ik) en geldt voor alle organisaties, in het bedrijfsleven en alle overheidsinstanties.

Naast de AVG zijn geldt voor alle organisaties de meldplicht datalekken (sinds januari 2016). Voor zorgorganisaties geldt al jaren de NEN7510 norm. Deze norm wordt gezien als een vrij strenge norm voor informatiebeveiliging en privacybescherming. Het wordt ook gebruikt door de Inspectie in de GezondheidsZorg (IGZ) om de informatiebeveiliging van zorgorganisaties te toetsen.

Waarom is er op dit moment zoveel te doen rondom de AVG? Met de komst van de AVG krijgt de “gewone” burger voor het eerst een juridisch instrument in handen om de bescherming van zijn of haar persoonlijke gegevens af te dwingen. Daarbij komt dat bij veel organisaties pas nu het besef van de impact van de AVG op de bedrijfsvoering goed doordringt. Zij voelen de druk groter worden om op een professionele wijze om te gaan met gegevens van klanten en medewerkers. Mede ook omdat het spannend wordt of consumenten en medewerkers ook daadwerkelijk organisaties juridisch zullen gaan aanspreken op naleving van de AVG.

Een andere bijzonderheid is dat de AVG naast privacybescherming nog een aantal aanvullende rechten verschaft aan natuurlijke personen, die echt nieuw zijn. Hieronder zijn deze rechten opgesomd, ten aanzien van de eigen persoonsgegevens:

  • Recht op toegang;
  • Recht op controle en verbetering;
  • Recht op een kopie;
  • Recht om vergeten te worden (wissen);
  • Recht op duidelijke instemming voor gebruik;
  • Recht op transparantie over het gebruik;
  • Recht op eenvoudige doorgifte naar andere partijen;
  • Recht op kennisgeving bij ongeoorloofd gebruik of lekken.

Wat te doen?

Door de Autoriteit Persoonsgegevens is een 10 stappenplan beschreven waarmee organisaties zich kunnen voorbereiden op de AVG. Dit stappenplan is opgenomen in dit blog. Daarnaast bestaat voor de NEN7510 norm een checklist, die als controlemiddel kan dienen, om vast te stellen of uw organisatie adequate technische maatregelen heeft genomen om persoonsgegevens van klanten en medewerkers te beveiligen. Deze checklist hebben we vertaald naar 14 ICT technische aandachtpunten die relevant zijn in het kader van de AVG.

 

10 Stappenplan

Stap 1: Bewustwording - Aanpassen huidige processen, diensten en goederen.

Stap 2: Rechten van betrokkenen - recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit.

Stap 3: Overzicht verwerkingen - Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Documentatieplicht.

Stap 4: Privacy Impact Assessment (PIA) - Verplicht PIA uit te voeren bij waarschijnlijk hoog privacyrisico.

Stap 5: Privacy by design & privacy by default - Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat standaard, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn.

Stap 6: Functionaris voor de gegevensbescherming Mogelijke verplichting om een functionaris voor de gegevensverwerking (Privacy Officer) aan te stellen.

Stap 7: Meldplicht datalekken - Je moet alle datalekken documenteren.

Stap 8: Bewerkersovereenkomsten - Heb je je gegevensverwerking uitbesteed aan een bewerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw leveranciers nog steeds toereikend zijn.

Stap 9: Leidende toezichthouder Heeft jouw organisatie vestigingen of vinden gegevensverwerkingen in meerdere EU-lidstaten plaats?  Dan hoef je onder de AVG maar met één privacy-toezichthouder zaken te doen.

Stap 10: Toestemming Voor sommige vormen van gegevensverwerking heeft je organisatie toestemming nodig van de betrokkenen. Aangetoond dient te kunnen aantonen worden dat toestemming van betrokkene is verkregen. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Het volledige 10 stappenplan is gepubliceerd op de website van de Autoriteit Persoonsgegevens en is hier te vinden.

 

NEN7510 Checklist

Om je concrete handvatten te bieden voor het bereiken van een adequate beveiliging van persoonsgegevens hebben we de NEN7510 checklist vertaald naar 14 ICT technische aandachtpunten die relevant zijn in het kader van de AVG.

  • Gebruik van een gescheiden omgeving voor ontwikkeling en testdoeleinden;
  • Gedegen bescherming tegen virussen en malware;
  • Bescherming van mobiele apparaten tegen onbevoegd gebruik;
  • Bescherming van elektronische berichtuitwisseling:
    • Encryptie en aanvullende (toegangs)beveiliging van e-mailberichten;
    • Aanvullende (toegangs)beveiliging van documentuitwisseling;
    • Encryptie van communicatie tussen informatiesystemen.
  • Audit-log van activiteiten van gebruikers, uitzonderingen en beveiligingsgebeurtenissen;
  • Procedure voor het registreren en afmelden van gebruikers (accountbeleid);
  • Wachtwoordbeleid (afdwingen sterke wachtwoorden en periodiek wijzigen van wachtwoorden);
  • Autorisatie tot alleen die informatie(systemen) waarvoor de medewerkers specifiek bevoegd zijn;
  • Gebruik van een unieke identificatiecode voor persoonlijk gebruik;
  • Multi Factor Authenticatie voor informatiesystemen, die cliëntgegevens verwerken;
  • Beveiligingsmaatregelen ter bescherming van draagbare computers en communicatie-apparatuur.

 

Hoe weet ik hoe mijn organisatie ervoor staat?

Om antwoord te gegeven op deze vraag biedt Rapid Circle in samenwerking met Microsoft het AVG Assessment gratis aan. Op basis van een uitgebreide checklist helpen wij je de gereedheid van de medewerkers, processen en technologie met betrekking tot de AVG te evalueren. Vervolgens doen we op basis van de uitkomsten aanbevelingen naar geschikte oplossingen om jouw organisatie klaar te stomen voor de AVG.