Voorbereiden op de AVG (GDPR)

Het zal de meeste mensen niet zijn ontgaan: er gaat komend jaar wat veranderen bij de bescherming van persoonsgegevens. Vanuit de EU wordt dan de privacywetgeving voor alle lidstaten gelijkgetrokken. Op dit moment heeft iedere lidstaat namelijk nog eigen wetten, gebaseerd op de Europese privacyrichtlijn uit 1995 (toen ‘privacy’ nog iets was waar vooral VIP’s en paparazzi mee stoeiden). In Nederland is deze richtlijn vertaald in de bekende Wet bescherming persoonsgegevens (Wbp) uit 2001. In de nieuwe digitale wereld met gedistribueerde clouddiensten en de enorme datahonger van techbedrijven biedt deze verouderde wetgeving eigenlijk te weinig bescherming aan burgers. Vandaar dat de EU al vele jaren bezig is met een opvolger: de General Data Protection Regulation (GDPR).

private

In april 2016 werd de nieuwe wet goedgekeurd door het Europees Parlement en de Europese Raad. De Algemene Verordening Gegevensbescherming (AVG), zoals de Nederlandse vertaling van de GDPR luidt, is op 25 mei 2016 in werking getreden en vanaf dat moment hadden organisaties 2 jaar de tijd om de benodigde verandering door te voeren. Nu liep Nederland met de Meldplicht Datalekken al vooruit op de nieuwe Europese wetgeving en zouden organisaties de privacy-bescherming voor een groot deel al op orde moeten hebben.

In de praktijk blijkt helaas dat veel organisaties nog niet zo ver zijn. “Die Meldplicht Datalekken, die geldt voor ons niet….” hoor ik iets te vaak. Meestal zegt dat ook wel wat over de volwassenheid van de rest van de organisatie en de mate waarin IT-processen beheerd en beheerst worden. In principe is het allemaal geen rocket science, maar als je de afgelopen 20 jaar nauwelijks aandacht hebt gehad voor informatiebeveiliging en privacybescherming sta je nu toch wel voor een groot verandertraject.

In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens. Om organisaties te helpen bij het nemen van de juiste maatregelen heeft de AP een aantal publicaties uitgebracht. Eén van die publicaties is een 10-stappenplan dat organisaties kunnen gebruiken in de voorbereiding op de nieuwe privacywet. Die tien stappen zijn niet voor iedere organisatie even relevant, maar ze geven wel een goed beeld van de mogelijke maatregelen. Hieronder staan de stappen kort uitgelegd.

Stap 1: Bewustwording

Als besluitvormers binnen je organisatie niet weten wat er gaat veranderen en wat daarvoor nodig is, zullen ze niet de juiste beslissingen kunnen nemen. Zorg dus dat je op tijd begint met ‘zenden’, want het blijkt dat het een tijdje duurt voordat je wordt gehoord. Helaas blijkt dat bestuurders in veel gevallen pas echt getriggerd worden door het noemen van de hoogte van de mogelijk boetes… Bewustwording is sowieso een belangrijk aspect binnen de informatiebeveiliging, gezien het feit dat hackers zich de laatste tijd vooral op de eindgebruiker richten. Naast voorlichting en training is het daarbij ook belangrijk om de hele organisatie periodiek te testen (bijv. met een phishingtest om de oplettendheid van medewerker te toetsen of een mystery guest die even aan de deuren rammelt).

Stap 2: Rechten van betrokkenen

De mensen van wie persoonsgegevens worden verwerkt, krijgen in de nieuwe wet meer rechten. Naast het bestaande recht op inzage en recht op correctie en verwijdering, krijgen ze ook recht op dataportabiliteit. Voor veel informatiesystemen zal gelden dat deze functionaliteit überhaupt nog niet in de systemen zit ingebouwd. Zeker bij verouderde systemen of systemen van slechte softwarekwaliteit kan een dergelijke functionele verandering een behoorlijke uitdaging vormen.

Stap 3: Overzicht verwerkingen

Om goed te kunnen inschatten welke persoonsgegevens je eigenlijk verwerkt en welke maatregelen je moet nemen, dien je allereerst de gegevensverwerkingen binnen je organisatie in kaart te brengen. Dit is typisch een voorbeeld van een beheersmaatregel die eigenlijk heel logisch klinkt, maar in de praktijk blijken de meeste IT-afdelingen geen idee te hebben welke informatie ze beheren. De AVG bevat een verregaande documentatieplicht en je organisatie moet kunnen aantonen dat ze in overeenstemming met de wet handelt.

Stap 4: Data protection impact assessment (DPIA)

Met een impact assessment bepaal je de risico’s die je organisatie loopt met het verwerken van persoonsgegevens. Die risico’s verklein je vervolgens met behulp van de nodige maatregelen tot een acceptabel niveau. Of je besluit natuurlijk dat de kosten te hoog zijn en ziet af van de verwerking. Voor het uitvoeren van PIA's zijn standaard vragenlijsten beschikbaar, maar er zijn ook richtlijnen vanuit de AP opgesteld. Daarnaast is er een ISO-standaard die het PIA-proces en de structuur van een PIA-rapport beschrijft.

Stap 5: Privacy by design & privacy by default

In het verleden kwam privacy vaak als een fix achteraf. Het koppelen van informatiesystemen en het uitwisselen van allerlei vormen van persoonsgegevens werd als een groot goed gezien. Leuk idee, maar in de praktijk leidt dit toch vaak tot een grote uitdaging om de keten te beheren. Met privacy by design en privacy by default wordt het belang van privacy vooropgesteld en als belangrijke eis en uitgangspunt meegenomen. Het Centrum Informatiebeveiliging en Privacybescherming (CIP) heeft een handleiding geschreven waarin wordt uitgelegd op welke manier privacy al bij het ontwerp van informatiesystemen meegenomen kan worden.

Stap 6: Functionaris voor de gegevensbescherming

De rol van functionaris gegevensbescherming (FG) klinkt wellicht bureaucratisch, maar vormt wel een belangrijke schakel in het evenwicht tussen functionaliteit (zoveel mogelijk delen biedt kansen) en privacybescherming (zoveel mogelijk delen is risicovol). Zonder die onafhankelijke rol kan een organisatie teveel doorslaan naar een functionele benadering. Of jouw organisatie een FG moet aanstellen, hangt van een aantal factoren af. De AP heeft daar uitgebreide richtlijnen voor opgesteld.

Stap 7: Meldplicht datalekken

Als het goed is een oude bekende en de betreffende maatregelen zijn dan ook al meer dan anderhalf jaar in je organisatie ingevoerd. Uit ervaring weet ik dat dit niet bij iedereen het geval is. Onder de AVG wordt met name de interne registratie van datalekken wat strenger. De Autoriteit Persoonsgegevens stelde eind 2015 vanuit de Wbp een document met beleidsregels op. Met behulp van dit document kunnen organisaties hun eigen meldprocessen en registraties inrichten.

Stap 8: Bewerkersovereenkomsten

Vanuit strategisch oogpunt zal een organisatie niet altijd zelf informatie verwerken. Veelal vanuit kostenoogpunt wordt de keuze gemaakt om dit door derde partijen te laten uitvoeren. De verantwoordelijkheid voor de bescherming van persoonsgegevens kan niet worden overgedragen en blijft bij de organisatie liggen. Met een bewerkers- (of verwerkers)overeenkomst maak je afspraken met de leverancier om te zorgen dat er voldoende maatregelen worden genomen om de persoonsgegevens (waar jij verantwoordelijk voor bent) te beschermen. Verwerkersovereenkomsten kunnen grotendeels op basis van standaarden worden opgesteld. De beschreven maatregelen zijn bijna altijd uniek en specifiek voor de gegevens de verwerkt worden. Maatwerk dus en dit vraagt zeker om beheer (en controles).

Stap 9: Leidende toezichthouder

Deze stap is enkel nodig voor organisaties die in meerdere EU-landen met een nationale toezichthouder te maken hebben of krijgen. Dat is natuurlijk lastig schakelen en onder de AVG kun je kiezen voor één toezichthouder.

Stap 10: Toestemming

Onder de AVG mogen verwerking enkel nog maar plaatsvinden als er door de betrokkene toestemming is gegeven. Voor het vragen, verkrijgen en registreren van de toestemming gelden strengere eisen. Veelal zal er een eenmalige inhaalslag nodig zijn om de huidige verwerkingen bij te werken. Daarnaast moet die toestemming ook weer eenvoudig in te trekken zijn. Die functionaliteit zal in veel informatiesystemen nog niet zijn ingebouwd.

Bovenstaande stappen geven kort weer waar je als organisatie rekening mee moet houden. De links naar de richtlijnen van de Autoriteit Persoonsgegevens geven nog veel meer informatie die je kunt gebruiken bij het inrichten van processen en het beleggen van taken en verantwoordelijkheden. Als je er niet uitkomt en hulp zoekt, helpen wij je graag verder.

Michiel Beijer

Geschreven door : Michiel Beijer

­