De AVG
De privacywetgeving, beter bekend als de Wet Algemene Verordening Gegevensbescherming (AVG). De wet is eerder dit jaar, op 25 mei 2018, van kracht gegaan. De wet algemene verordening gegevensbescherming is van kracht binnen de Europese Unie. In de internationale sfeer is de wet bekend onder de general data protection regulation (GDPR), maar wat houdt deze wet precies in en hoe wordt deze nageleefd? Dat is de vraag die we in deze blog zullen beantwoorden. Ook vraagstukken rondom het bewaren van gegevens in de cloud worden kort toegelicht.
De AVG[1] is een wet ingevoerd met als doel om de privacy rechten te versterken en uit te breiden. De wet verlegt de verantwoordelijkheid van het bewaren van gegevens van de persoon terug naar de organisaties. Deze plicht wordt ook de verantwoordingsplicht[2] genoemd. Deze verantwoordingsplicht houdt in dat je gedocumenteerd kan aantonen dat de maatregelen zijn genomen om aan de richtlijnen van de AVG te voldoen.
Maar wanneer mag je persoonsgegevens verwerken? De AVG geeft 6 grondslagen. Als aan één van de grondslagen is voldaan, ben je gemachtigd om persoonsgegevens te verwerken. Deze grondslagen zijn[3]:
- Toestemmingvan de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Of je hieraan voldoet wordt niet door een onafhankelijke instantie getoetst. Dit kan je zelf controleren of met de hulp van een expert toetsen. Daarnaast zijn persoonsgegevens die demografische, medische, of strafrechtelijke persoonsgegevens erin verwerkt hebben extra gevoelig.
Tools
Om deze verantwoordingsplicht te verantwoorden zijn er een aantal tools gemaakt. Deze tools zijn beschikbaar op de site van de Autoriteit Persoonsgegevens. Onder het kopje Zelf doen staat een lijst met onderwerpen met onder andere het waarborgen en vaststellen van risico’s en hoe je het beste maatregelen kan beschrijven.
Data Protection Impact Assessment
In een aantal gevallen is een Data protection impact assessment (DPIA)[4] verplicht. Dit is een tool om de risico’s van gegevensverwerking in kaart te brengen. Als er een hoog privacyrisico aanwezig is, dan moet er een DPIA worden uitgevoerd. Of er een privacyrisico aanwezig is en de hoogte hiervan, moet de gegevensverwerker zelf bepalen. Hier worden wel enkele richtlijnen voor gegevens, als er:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaalbijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)
Wanneer er aan één van de bovenstaande richtlijnen wordt voldaan, dan moet er in ieder geval een DPIA worden uitgevoerd. Een DPIA kun je extern laten uitvoeren of zelf uitvoeren. Voor deze DPIA, moet er minstens[5]:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan aanwezig zijn. Beroep je je op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
- Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen aanwezig zijn. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om het doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie je gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
- Een beoordeling van de privacy risico’s voor de betrokkenen aanwezig zijn.
- Een beschrijving van de beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat je aan de AVG voldoet.
Na het uitvoeren van een DPIA, moet het duidelijk zijn wat de risico’s van de huidige vorm van dataverwerking zijn en de maatregelen moeten dan ook bekend zijn om deze risico’s af te dekken. Kunnen deze risico’s niet afgedekt worden, dan moet er contact opgenomen worden met de Autoriteit Persoonsgegevens. Wat belangrijk is om te weten is dat een DPIA niet een eenmalige verwerking is, maar juist een periodieke handeling. Aanbevolen wordt om deze handeling eens in de drie jaar uit te voeren.
De hoofdlijnen voor jou als ondernemer zijn dat je met documenten moet kunnen aantonen dat je op zowel organisatorisch als technisch niveau de juiste maatregelen heb getroffen om aan de wetgeving van de AVG te voldoen.
Cloud
Veel bedrijven, klein en groot, werken tegenwoordig in de cloud. Het risico ligt hier anders. Het bedrijf dat de gegevens verzamelt maakt vaak gebruik van een externe partij die dit in de cloud opslaat en mogelijk nog tot andere derden beschikbaar stelt. Wie is er dan verantwoordelijk en hoe dek je het risico af?
Degene aan wie de klant zijn of haar gegevens tot opslaan of gebruikmaking beschikbaar stelt is verantwoordelijk voor de privacy van de gegevens. Dus als jij de gegevens van een klant in een online platform opslaat, moet jij regelen met de provider van dit platform dat de gegevens veilig bewaard worden en dat deze voldoen aan de voorwaarden van de Autoriteit Persoonsgegevens.
Dit kan op een aantal manieren gedaan worden. De meest behulpzame en makkelijkste manier is het opstellen van een verwerkersovereenkomst. In een verwerkersovereenkomst moeten tenminste de volgende zaken aan bod komen[6]:
- Doel van verwerking: Wat voor doel heeft de organisatie met de verwerking van deze persoonsgegevens.
- Manier/methode van verwerking: Er wordt hier duidelijk vastgelegd wat de methode is en hoe deze persoonsgegevens van invoer naar uitvoer worden verwerkt.
- Geheimhouding: De verwerker moet verklaren de gegevens die zij onder ogen krijgen tijdens de verwerking geheim te houden middels een geheimhoudingsverklaring.
- Afspraken over eventuele onderaannemers: Soms komt het voor dat een externe verwerker een deel van de activiteiten weer uitbesteed aan een andere partij. Is dat het geval, dan moeten ook daar duidelijke afspraken over worden gemaakt.
- Securitymaatregelen: De verantwoordelijke partij spreekt met de verwerkende partij af welke beveiligingsmaatregelen de laatstgenoemde maakt. Zo verzekert de verantwoordelijke partij zich ervan dat de persoonsgegevens niet door nalatigheid op het gebied van security in verkeerde handen terechtkomen.
- Duur van de verwerking: De verwerkersovereenkomst moet duidelijkheid verschaffen over de duur van de verwerking. Met andere woorden: wanneer is de verwerking niet meer nodig en moet de externe partij hiermee stoppen en de persoonsgegevens wissen?
Door een verwerkersovereenkomst af te sluiten met de derde partij, dek je jezelf af voor eventuele verantwoordelijkheid wat betreft datalekken bij grote bedrijven met veel klanten.
CBEE en de AVG
CBEE werkt met persoonsgegevens die in de cloud zijn opgeslagen. Hoe waarborgt CBEE de veiligheid van de gegevens en worden datalekken voorkomen? CBEE heeft na kritisch onderzoek haar applicaties uitgekozen. De gebruikte applicaties zijn hier te vinden. Daarnaast geloven de applicaties waar CBEE gebruik van maakt en CBEE zelf in het concept: Security by Design. Het systeem is dus gebouwd om de beveiliging heen en niet andersom. De gegevens worden opgeslagen in een beveiligde ruimte in, zogenaamd een gecertificeerde ISO of NEN ruimte.
Wil je zelf ook even de teksten doornemen, zie de volgende twee rapporten:
Uitvoeringswet Autoriteit Verordening Persoonsgegevens
Publicatieblad van de Europese Unie
Ben je geïnteresseerd in meer van dit soort content? Houd dan onze blog in de gaten! Ben je een ondernemer en geïnteresseerd in meer expertise in je administratie, bekijk onze boekhoud– en controllingdienst op onze website. Geïnteresseerd? Neem gerust contact met ons op!
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/algemene-informatie-avg
[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/verantwoordingsplicht
[3] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#hoe-weet-u-of-u-persoonsgegevens-mag-verwerken-6310
[4] https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia
[5] https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#op-welke-manier-moet-ik-een-dpia-uitvoeren-5885
[6] https://www.yoursafetynet.com/nl/verwerkersovereenkomst/