Maakt ISO makkelijk!

Wat betekent de EU privacy verordening (AVG) voor uw organisatie?

  • Geplaatst op
  • Door Drs. J. (Hans) van der Rijst
  • 0
Wat betekent de EU privacy verordening (AVG) voor uw organisatie?

De nieuwe Europese privacy verordening (AVG of GDPR) geldt vanaf 25 mei 2016. Alle organisaties in de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de AVG in overeenstemming te brengen. U krijgt hiervoor tot 25 mei 2018 de tijd. De AVG is dus van toepassing op alle organisaties, ook voor ZZP’ers of wat betreft omvang overige kleine organisaties.


De grootste verandering in de nieuwe verordening zit niet zozeer in de nieuwe regels, maar vooral in het feit, dat u als organisatie nu in de praktijk iets met die regels moet doen. Dat betekent dat privacy niet meer een zaak is van juristen, politici en toezichthouders, maar gewoon van privacy officers, directies en security officers. Zij moeten ervoor zorgen dat de privacy van klanten, medewerkers en andere stakeholders geborgd wordt. Niet meer en niet minder.


U moet er voor zorgen dat u een managementsysteem heeft dat op proportionele wijze de risico’s afdekt. Daarbij gaat het bij de AVG ook om de aantoonbaarheid. U moet aantoonbaar kunnen maken dat u in control bent. Dat betekent dat u het privacy beleid met de daarbij behorende maatregelen moeten zijn vastgelegd. Ook moet aantonen dat dit een effectief werkend geheel is. Als persoonsgegevens bijvoorbeeld op straat zijn komen te liggen, is uiteraard nog steeds actie vereist. Maar nieuw is, dat u moet kunnen laten zien wat u heeft gedaan om dit te voorkomen. U moet kunnen aantonen, dat u de risico’s in kaart heeft gebracht met een privacy impact assessment (PIA), de risico’s heeft vertaald naar maatregelen en dat u gecontroleerd heeft of de maatregelen nageleefd worden. In feite moet u dus een managementsysteem voor privacy hebben om dit aantoonbaar te kunnen maken. Dat kunt u uitstekend combineren met een ISO 9001 of nog beter een ISO 27001 management systeem.


Van reactief naar pro-actief.
Voorheen kwam de Privacy Officer meestal pas in beeld als er een privacy incident plaats vond. Hij wist wat er dan moest gebeuren om geen boete te krijgen. Vandaag de dag heeft de Privacy Officer een meer pro-actieve rol en vooral ook een rol in dienst van de organisatie. Hij/zij is een adviseur die de directie keuzes voorlegt hoe met privacy om te gaan. Daarbij brengt de Privacy Officer bij nieuwe ontwikkelingen de privacy risico’s in kaart voor de betrokkenen en de eigen organisatie. Ook houdt hij / zij zich bezig met het meten van het effect van de borgingsmaatregelen en adviseert zo nodig waar en hoe het beter kan.


Wanneer moet de Privacy Officer er komen?
De nieuwe verordening stelt de Privacy Officer verplicht voor overheidsinstellingen en voor organisaties die grotere hoeveelheden persoonsgegevens verwerken, beheren of opslaan en zeker als hierbij ook bijzondere persoonsgegevens in het spel zijn. Dat betekent dus dat lang niet iedere organisatie een formele Privacy Officer moet aanstellen. Iedere organisatie die ‘iets doet met persoonsgegevens’ dient echter wel de rol van Privacy Officer vast te stellen en uit te voeren.


De zes principes van de AVG
De AVG is gestoeld op de volgende zes principes:

  • Rechtmatigheid;
  • Doelbinding;
  • Minimalisatie van gebruik van persoonsgegevens;
  • Juistheid;
  • Opslagbeperking;
  • Integriteit en vertrouwelijkheid.


U moet altijd rekening houden met de privacy van betrokkenen waarbij bovenstaande zes principes het uitgangspunt vormen. Dat wordt ook wel Privacy by design and default genoemd.

Wat wijzigt er met de AVG?
De AVG is een opvolging van de Wbp en is vanaf 25 mei 2018 van toepassing. De AVG heet in het Engels General Data Protection Regulation (GDPR). De grootste wijzigingen zijn:

De wetgeving is Europees geldend; organisaties die in Europa actief zijn hoeven slechts aan deze ene wet te voldoen;
Documentatieplicht; als organisatie moet u kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen;
Verwerker van persoonsgegevens hoeft niet meer te worden gemeld;
Mogelijke verplichting voor het uitvoeren van een PIA (privacy impact assessment);
Mogelijk verplicht tot het aanstellen van een functionaris voor de gegevensbescherming (Privacy Officer).

Let op, de meldplicht datalekken vervalt niet.


Wanneer moet u een Privacy Officer aanstellen?
Een Privacy Officer is iemand die toezicht houdt op de toepassing en naleving van de Europese privacywet. In drie situaties is een Privacy Officer in ieder geval verplicht:

  • Voor overheden en publieke organisaties. Bijvoorbeeld gemeenten, provincies, maar ook zorginstellingen;
  • Voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;
  • Voor organisaties die op grote schaal en als kernactiviteit bijzondere persoonsgegevens verwerken. Dat zijn bijvoorbeeld gegevens over gezondheid, ras of politieke overtuigingen;


Het opstellen van een vewerkersovereenkomst
Een van de nieuwe eisen van de AVG is dat er een vewerkersovereenkomst wordt opgesteld met daarin een aantal specifieke eisen. Hierbij stelt de partij die verantwoordelijk is voor de persoonsgegevens een overeenkomst op met de partij die de persoonsgegevens verwerkt. Dit is een contract dat door veel organisaties moet worden opgesteld. Hierin moet tenminste worden opgenomen:

  • Algemene beschrijving. Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).
  • Instructies verwerking. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
  • Geheimhoudingsplicht. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
  • Beveiliging. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
  • Subverwerkers. De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen. Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
  • Privacyrechten. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
    Andere verplichtingen . De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
  • Gegevens verwijderen. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
  • Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).


Uitvoeren van een Privacy Impact Assessment (PIA)
Dit geldt niet voor alle bedrijven. Met een PIA brengt u de privacyrisico’s van gegevensverwerking in kaart. Er moet altijd een PIA worden uitgevoerd wanneer de organisatie:

Een zogenaamde high risk organisatie is. Dus als de gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Dit geldt dus voor banken, verzekeraars, ministeries, etc.;
Aan profiling doet, met name met behulp van nieuwe technologieën;
Op grote schaal en systematisch mensen volgt in openbare ruimten;
Persoonsgegevens doorgeeft aan landen buiten de EU.


Dataportabiliteit
De betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) heeft het recht om zijn gegevens op te vragen in een standaardformaat. Zo kan hij het bijvoorbeeld bij een andere dienstverlener onderbrengen. Bovendien heeft hij ook het recht om vergeten te worden. Dat was altijd al zo, maar nu moet de verantwoordelijke (dat is degene die de persoonsgegevens verwerkt) er ook voor zorgen dat die gegevens worden verwijderd bij andere databanken waarvan hij weet dat ze daar in beland zijn.


Waar zijn de exacte eisen van de AVG te vinden?
Hierboven heb ik slechts enkele in het oog springende zaken van de AVG belicht. Het is zeker niet uitputtend. De volledige wettekst van de AVG kunt u hier vinden: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf


Kan een ISO 27001 managementsysteem mij helpen om aan de AVG te voldoen?
Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO 27001. Voldoen aan de ISO 27001 norm of het hebben van een ISO 27001 certificering is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG.

De AVG stimuleert in zekere zin het in gang zetten van certificering. Er wordt geen expliciete verwijzing gemaakt naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG.

ISO 27001 is dé standaard voor het opzetten en implementeren van een managementsysteem voor informatiebeveiliging. Als u een dienstverlener bent en voor uw klanten ook persoonsgegevens verwerkt, dan ligt voor een privacymanagementsysteem de combinatie met ISO 27001 voor informatiebeveiliging voor de hand. U kunt daarmee inspelen op een aantal wensen van uw klanten, zeker als die klanten zorginstellingen of overheden zijn. Want als zij hun gegevensverwerking uitbesteden, en dat gebeurt steeds vaker, worden zij onder druk gezet om bij hun dienstverleners eisen te stellen aan zowel de privacy als de informatiebeveiliging.


Ga aan de slag met onze handige ISO 27001 softwaretool.
Gelukkig is het opzetten van een ISO 27001 informatiebeveiligingssysteem niet moeilijk. Zeker niet wanneer u gebruik maakt van onze ISO 27001 softwarepakketten. U heeft geen adviseur nodig en kunt meestal het ISO 27001 certificaat in vier maanden tijd behalen.

Reacties

Wees de eerste om te reageren...

Laat een reactie achter
* Uw e-mailadres wordt niet gepubliceerd.
* Verplichte velden
Door het gebruiken van onze website, ga je akkoord met het gebruik van cookies om onze website te verbeteren. Dit bericht verbergen Meer over cookies »