De nieuwe Europese Privacywetgeving gaat in per 25 mei 2018. Deze nieuwe wet heet de Algemene Verordening Gegevensbescherming (AVG). De AVG vervangt de huidige privacywetgeving: Wet Bescherming Persoonsgegevens (WBP) en Meldplicht Datalekken. De AVG benadrukt dat een organisatie die persoonsgegevens verwerkt, moeten kunnen aantonen dat zij deze vertrouwelijk houdt. Deze verordening vereist onder andere dat je risico’s, maatregelen en processen documenteert en toeziet op de naleving ervan.
Voor wie geldt de Privacywetgeving
De Privacywetgeving is voor alle organisaties van toepassing die persoonsgegevens verwerken. Een persoonsgegeven is elk gegeven wat kan leiden naar een geïdentificeerde of identificeerbare natuurlijke persoon. Bijvoorbeeld naam, adres, BSN nummer, e-mail. Het gaat hier dan wel om levende personen. Verder wordt er in de te nemen maatregelen rekening gehouden hoeveel en welke persoonsgegevens je waarvoor als organisatie verwerkt. Er wordt gekeken naar mogelijke risico’s die personen ondervinden op het moment dat hun persoonsgegevens door een datalek op straat komen te liggen. De wetgeving gaat uit dat je als organisatie passende technische en organisatorische maatregelen neemt die in verhouding staan tot de risico’s die het verwerken van deze persoonsgegevens met zich mee brengt. Oftewel, een zorginstelling, gemeente en scholen hebben te maken met strengere beveiligingseisen en privacy normen dan bijvoorbeeld een groothandel of “de bakker om de hoek”.
Documentatieplicht
De privacywetgeving gaat over elke verwerking van persoonsgegevens. Hieronder vallen dus ook de eigen personeel- en salarisadministratie, persoonlijke contactgegevens van leveranciers. Er ligt als organisatie een bewijslast dat je moet kunnen aantonen “privacy proof” te zijn. Deze documentatieplicht omvat ten minste:
- Passend (!) gegevensbeschermingsbeleid: hoe heb je persoonsgegevens in jouw systeem beveiligd;
- Register van verwerkingsactiviteiten: welke persoonsgegevens verwerk je met welk doel;
- Verwerkersovereenkomsten: indien een andere partij persoonsgegevens voor jou verwerkt, dan maak je met die partij (verwerker) afspraken hierover. Dit wordt een verwerkersovereenkomst genoemd. Voorbeelden zijn: de accountant, de externe salarisadministratie, een externe helpdesk die toegang heeft tot jouw data, klantportalen;
- Procedure datalekken: wat doe je als een datalek heeft plaatsgevonden. Indien een datalek heeft plaatsgevonden dan hoor je ook de opvolging ervan te documenteren;
- Het toepassen van Privacy by Design en Privacy by Default: heb je alle persoonsgegevens wel nodig om jouw doel te bereiken? En hoe lang bewaar je deze gegevens?
Indien verwerking van persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan is een Gegevensbeschermingseffect beoordeling (GEB) verplicht. Hiervoor volstaat de PIA die beschikbaar is gesteld door de NOREA. Medio 2017 verstrekt de Autoriteit Persoonsgegevens een lijst wanneer de GEB verplicht is uit te voeren. Verder is een Functionaris Gegevensbescherming (FG) in sommige situaties verplicht.
Privacy en security Awareness
In de privacywet is ook benoemd dat medewerkers met behulp van training/scholing bewust moeten worden gemaakt voor wat betreft de verantwoordelijkheden en risico’s die het verwerken van persoonsgegevens met zich mee brengen. Helaas komen tot op de dag van vandaag nog hele domme datalekken voor, veroorzaakt door slordig gedrag van medewerkers.
Privacy proof worden
Er is in deze blog een impressie gegeven van wat je als organisatie zoal gedocumenteerd moet hebben. In deze blog is verder niet stil gestaan bij het hoe dan en onder welke voorwaarden. Als privacy adviseur on demand kan ik u helpen! Wilt u meer weten, neemt u dan vrijblijvend contact met mij op.
