Volg ons

Nieuwe wet 2018: de AVG

Dit is zonder twijfel mijn saaiste en taaiste blog éver, maar wel een heel belangrijke, dus kiezen op elkaar en lezen.

Met ingang van 25 mei 2018 dienen alle organisaties te voldoen aan de nieuwe Algemene Verordening Gegevensbescherming. Een nieuwe te die toeziet op de bescherming, juiste verwerking en toepassing van alle persoonsgegevens. Indien je je zaakjes niet op orde hebt, kan je dat op een dikke boete komen te staan. Ik heb hieronder puntsgewijs weergegeven wat de AVG in de praktijk inhoudt en welke concrete stappen je hiervoor als werkgever moet zetten:

De wet draait om de volgende 3 zaken:

1. Applicaties (ook wel, uw systemen)
2. Personen (alle betrokkenen, uzelf, medewerkers, klanten, leveranciers, boekhouders)
3. Processen (alles wat er in uw bedrijf en eromheen met de persoonsgegevens gebeurt)

Even voor de duidelijkheid: wat wordt in de AVG verstaan onder ‘persoonsgegevens’:
Onder persoonsgegevens wordt o.a. verstaan: alle gegevens van uw eigen medewerkers, uw klantgegevens, gegevens van sollicitanten en personeelsgegevens van medewerkers van uw klanten of leveranciers.

We lopen de 3 punten even allemaal even na:

1. Applicaties:
Zowel uw oude, nieuwe als applicaties van derden (denk aan een boekhoudprogramma dat u deelt met uw accountant) moeten in eerste instantie aantoonbaar technisch in orde zijn. Vervolgens moet u de volgende zaken eenvoudig kunnen aantonen:
– Wat is de aard van de data die we bewaren
– Wat is de omvang van de data die we bewaren
– Wat is het doel van de data die we bewaren

Zeker de laatste is van belang, data van personen die u opslaat zonder dat u kunt aangeven met welk doel u dat doet, is niet langer toegestaan. Alleen persoonsgegevens die in dienst staan van uw samenwerking / noodzakelijke verwerking van de gegevens met die betreffende persoon, mag u bewaren.
Indien de omvang van de data erg groot is, verdient het bovendien de aanbeveling om data gefragmenteerd op te slaan om, in een geval van een datalek, de schade mogelijk te kunnen beperken.

Voor data die u deelt met derden, denk weer aan uw boekhouder, geldt dat u een verwerkersovereenkomst moet afsluiten. Hierin stelt de verwerker (in dit geval de boekhouder) dat hij correct en volgens de nieuwe norm de data verwerkt, opslaat en bovendien een protocol heeft in het geval van een datalek. U dekt hiermee de aansprakelijkheid voor uzelf af indien uw boekhouder daadwerkelijk een datalek heeft. Let op: bij overtreding van de AVG worden heel serieuze boetes uitgedeeld.

2/3 Personen en Processen

Personen en processen zijn zo nauw verweven, die beschrijf ik even samen. Hierbij gaat het om het kunnen beantwoorden en vastleggen van de volgende zaken:
– Welke gegevens legt u vast
– Wat mag u met deze gegevens doen
– Wie mag er wat mee doen en met welk doel

Bij personen gaat het hierbij om de volgende 3 spelers:
– Uzelf
– Uw klant of medewerker
– De verwerker (de cloud leverancier, boekhouder, etc)
Van deze partijen moet u de bovengenoemde richtlijnen benoemen en vastleggen om aan de norm van de AVG te voldoen.

Processen: het verwerken van informatie & Verwerkersovereenkomst
Onder het verwerken van persoonsinformatie verstaan we het volgende:
– Waar komt de informatie vandaan?
– Met wie wordt de informatie wordt gedeeld?
– Welke informatie wordt gedeeld en hoe wordt die verwerkt?
– Leg de toestemming hiervoor vast
– De data moet dataportabel zijn (opvraagbaar voor de personen die het betreffen)
Deze afspraken leg je vast in een zogenaamde verwerkersovereenkomst. Deze overeenkomst wordt opgesteld door je verwerker (boekhouder, cloudleverancier, etc) en stem je samen inhoudelijk overeen.

Bindende uitgangspunten binnen de AVG voor systemen waar je mee werkt of gaat werken (zorg gewoon dat je weet wat deze termen betekenen en dat je systeem eraan voldoet):
1. Privacy by design: dat betekent dat je nieuwe systeem al aantoonbaar moet zijn ontworpen op basis van de AVG richtlijnen.
2. Privacy by default: dat betekent dat je systeem in de standaardinstelling voldoet aan de richtlijnen van de nieuwe AVG.

Datalek
Datalekken gelden zowel voor online als offline persoonsgegevens. Om aan de nieuwe norm te voldoen, regel je de volgende zaken:
1. Stel een team samen dat handelt bij een datalek
2. Maak een protocol dat aangeeft wat te doen bij een datalek
3. Meldt de het datalek bij www.autoriteitpersoonsgegevens.nl
4. Stel je communicatieplan in werking (bij grote organisaties)

Wat zijn de rechten van alle betrokkenen:-
– Personen moeten eenvoudig toegang hebben tot hun persoonsgegevens
– Personen moeten toestemming kunnen geven of intrekken m.b.t. hun persoonsgegevens
– Personen hebben het recht om vergeten te worden, oftewel de data moet blijvend verwijderd kunnen worden.
Zou dat ook voor de belastingdienst van toepassing zijn….?

Resumé:
Zet privacy op de agenda van je werkoverleg en leg vast:
Maak met je team een stappenplan nav bovenstaande punten
Maak de vereiste documenten (google voorbeelden..)
Vraag toestemming aan alle betrokkenen en leg dat vast
Test nav PIA (privacy impact assessment)
Zorg dat je systeem voldoet aan Privacy by Design
Bedenk het wiel niet opnieuw, via google vind je overal voorbeelden van.

Veel succes!

Charlotte Stegeman