Vanuit Europa is er regelgeving ontwikkeld gericht op het beschermen van het individu door af te dwingen dat er zorgvuldig moet worden omgegaan met persoonsgegevens en de verwerking daarvan. In Nederland kenden we al de “Wet bescherming persoonsgegevens” en de bepalingen die daarin zijn opgenomen worden nu op Europees niveau uitgebreid en aangescherpt. De regelgeving is bekend onder de Engelstalige afkorting GDPR (General Data Protection Regulation) en de Nederlandse benaming daarvan heet AVG (Algemene Verordening Gegevensbescherming).
Meer achtergrond over de inwerkingtreding van de Europese regelgeving vindt u hier:
https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming
Dat is natuurlijk een mooie ontwikkeling voor de bescherming van het individu maar wat zijn de consequenties voor de ondernemer in deze? In een serie van blogs zal ik proberen vooral praktische zaken boven water te halen die u kunt tegenkomen bij de toepassing van deze wetgeving op uw organisatie.
Waar te beginnen?
De regelgeving is omvangrijk en heeft daarmee misschien een verlammend effect om te overzien welke “berg met werk” u zult moeten verzetten om aan de wetgeving te kunnen gaan voldoen. Het volgende onderwerpen overzicht geeft houvast in de uit te voeren taken:
- 1) Ontdekken van de verzamelde data
- Wat heeft u aan persoonsgegevens verzameld?
- Waar zijn de persoonsgegevens opgeslagen?
- Waar gebruikt u de persoonsgegevens voor?
- 2) Beheren van de data
- Heeft een individu de mogelijkheid om zijn persoonlijk opgeslagen gegevens in te zien?
- Kunt u de opgeslagen gegevens op verzoek corrigeren?
- Kunt u de gegevens van een individu verwijderen?
- Kan een individu bezwaar maken tegen verwerking van zijn gegevens voor een specifiek doel?
- Kunnen de individuen bij u een kopie van de opgeslagen data ontvangen?
- 3) Beschermen van de data
- Heeft u geschikte maatregelen toegepast voor het veilig opslaan en overdragen van persoonsgegevens?
- Heeft u uitdrukkelijk toestemming van het individu voor het specifieke doel van verwerking van zijn/haar gegevens?
- Heeft u een proces waarbij u in staat bent de autoriteiten tijdig en correct te informeren als er een gegevenslek wordt vastgesteld?
- Bewaart u een gedetailleerd audit log waarin de verwerking van gegevens wordt bijgehouden?
- 4) Beleid
- Is uw organisatie transparant in het aangeven van de doelmatigheid van het verzamelen van persoonsgegevens?
- Is uw organisatie transparant in het aangeven van de doelmatigheid van het verwerken van persoonsgegevens?
- Heeft uw organisatie een persoonsgegevens bewaarbeleid in gebruik waarin het verwijderen van persoonsgegevens wordt voorzien?
- 5) Training
- Hebben medewerkers uit uw organisatie afdoende privacy training ontvangen?
- 6) Toezicht
- Heeft uw organisatie een Privacy Officer aangesteld (als dit vereist is voor uw bedrijf)
- Worden er intern audits uitgevoerd op de toepassing van maatregelen ter bescherming van persoonsgegevens?
- Wordt er toegezien op het voldoen aan de GDPR eisen van uw leveranciers en gegevensverwerkers?
Ontdekken van verzamelde data
Allereest zult u dus moeten weten welke persoonsgegevens u van uw klanten reeds heeft verzameld, kortom welke data heb ik en waar is het opgeslagen?
In een eerder blog heb ik al eens verwezen naar het belang van “Weten welke informatie je bezit”. Op basis van die informatie kunnen we nu een classificatie maken van het wel/niet onderhevig zijn aan GDPR.
Wat heeft u aan persoonsgegevens in bezit?
De volgende typen bestanden komen zeker in aanmerking voor het vaststellen of deze persoonsgegevens van uw klanten of medewerkers bevatten:
- Mailinglijsten
- Adressenbestanden
- Webshops
- Contracten
- Business cases
- Ondernemingsplannen
- Bedrijfsadministraties
- Boekhoudingen
- Back ups
- Personeel dossiers
Als dat zo is, dan is GDPR van toepassing. Vervolgens zult u per gegeven moeten vaststellen dat het correct is dat het in uw bezit is.
Heeft de eigenaar van het gegeven u expliciet toestemming verleend voor het doel van de verwerking? Daarnaast kan een persoonsgegeven natuurlijk aan u correct ter beschikking zijn gesteld maar na verloop van tijd kan de zakelijke relatie niet meer van toepassing zijn. Op dat moment zult u moeten evalueren wanneer u een gegeven verwijdert. U draagt aansprakelijkheid voor het bewaren van een persoonsgegeven en u zult op verzoek van de toezichthouder ook moeten kunnen aantonen waarom u een gegeven nog immer in bezit heeft (het accountability principe). Goed om te weten is dat u natuurlijk wel de mogelijkheid bezit om gegevens te anonimiseren waardoor het geen persoonsgegevens meer zijn maar u bijvoorbeeld wel statistische analyses kunt maken of kunt redeneren over de (sub)set van gegevens.
Nu we een set aan gegevens hebben vastgesteld kunnen we verder met het evalueren van de genomen beschermingsmaatregelen.
Waar en hoe zijn deze gegevens opgeslagen?
Om vast te stellen of u “in control” bent over de opgeslagen gegevens is het noodzakelijk dat u weet en documenteert waar de data behoort te zijn opgeslagen. Het documenteren helpt u later tevens in het vaststellen van afwijkingen (toezicht/audit/datalek vaststellen).
Onder locaties waar de data zich bevindt kunt u bijvoorbeeld de volgende bronnen registreren:
Gegevensbestand | Opslaglocatie | Beschermingsmaatregelen |
Mailinglijsten |
|
|
Mailinglijsten | File server NAS
192.168.1.200 |
|
Mailinglijsten | Synology Cloud Back up
|
|
Webshop klantenbestand | https://derp.webshop.com |
|
Klantcontactgegevens | Telefoon van Anne
(Galaxy S7) Telefoon van Henk (iPhone 6S) |
|
Etc. |
Dat is best een pittige klus maar een noodzakelijk kwaad om een goed beeld te krijgen van de persoonsgegevens die u in bezit heeft. Het helpt u tevens met het identificeren van gegevens die op locaties staan waar u ze liever niet heeft staan.
Non-compliance
Als u vaststelt dat een gegevensbron niet afdoende is beschermd kunt u twee dingen doen:
- Aanvullende maatregelen nemen
- Bijvoorbeeld door het bestand te verplaatsen naar een reeds goed afgeschermde locatie
- Encryptie toe te passen
- De data opruimen
- Dit is de meest eenvoudige optie maar vereist wel inzicht in het benodigde gebruik van de gegevens
Tot zo ver deel 1. We hebben tot nu toe eigenlijk alleen nog maar gekeken naar het ontdekken van welke data er in bezit is en hoe dit is opgeslagen. Er is dus nog veel meer te doen.
Zie ook: Aan de slag met GDPR, deel 2