12 februari 2018

AVG, wat doen we ermee? – De 10 stappen

De Algemene Verordening Gegevensbescherming (AVG) treedt 25 mei 2018 in werking. De klok tikt en ik schat in dat veel organisaties er nog druk mee bezig zijn. Ook wij zijn aan de slag gegaan conform het stappenplan van de autoriteit persoonsgegevens. Dat blijkt een prima leidraad. Stap voor stap krijg je dan in beeld wat de AVG voor je betekent en wat je moet doen. Al heeft het ook de nodige vragen opgeleverd. Dat beeld en vragen die daarbij ontstonden laat ik hier de revue passeren. Ze zijn de kapstok voor volgende blogs. Want natuurlijk hebben we inmiddels ook antwoorden.
Digitale overheid

1. Bewustwording

Inderdaad bewustwording! Ja, ook wij als organisatie hebben natuurlijk persoonsgegevens. Maar waar hebben we het dan precies over? Volgens de definitie kom je op het volgende uit:  Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare persoon. Dit betekent dat informatie of direct over iemand gaat, of naar deze persoon te herleiden is. Dit kan door unieke kenmerken (bijv. NAW gegevens) maar ook door single out, dus als je iemand uniek uit een groep kan halen. Denk hierbij ook aan een IP adres of een cookie.

Maar we zijn niet alleen een organisatie maar ook leverancier van software. Software die persoonsgegevens kan verwerken. Alleen bepaalt onze klant bij ons of hij dat doet. Wat betekent dat voor onze producten? Onze contracten? En zijn we dan verwerker? Of zijn we dat alleen als we ook de Hosting verzorgen? De AVG raakt meer dan je denkt.

2. Rechten betrokkenen

Bij Kodision hebben we het dan over gegevens van onze klanten, prospects,  medewerkers, sollicitanten en leveranciers. Deze scope is helder maar welke rechten moeten we precies kunnen honoreren? Dat een personeelslid zijn gegevens mag inzien is helder, maar moeten we of mogen hem ook vergeten op zijn verzoek? Leuke vragen, antwoorden lijken vanzelfsprekend maar hoe zit dat nu precies? 

3. Overzicht verwerkingen

In een groeiende organisatie als Kodision is het goed om de verwerkingen in kaart te brengen. Processen in kaart hebben zorgt voor professionaliteit en biedt mogelijkheid tot optimalisatie. Een AVG is  een prima stimulans om hier verder invulling aan te geven. Dan pas wordt duidelijk hoeveel je vastlegt, waar je het allemaal gebruikt. Voor onze organisatie toch veel meer dan ik zelf dacht.

4. Data protection impact design

Zijn de persoonsgegevens op de juiste manier beveiligd? Welke risico’s lopen we met welke impact. Veel wordt bij ons min of meer vanzelfsprekend  goed gedaan. Natuurlijk zijn onze systemen beveiligd, is de toegang tot bijv. personeelsdossiers beperkt, maar toch? Het is goed om dit alles nog eens tegen het licht te houden. 

5. Privacy by design en privacy by default

Zorgen dat je niet meer persoonsgegevens vastlegt dan nodig is en dat gegevens de juiste bescherming hebben. Dat is hetgeen wat wordt gevraagd.  Al vragen en leggen we soms eerder te weinig persoonsgegevens vast dan teveel. Wie herkent de onvolledige CRM registraties niet in zijn organisatie? Maar als softwareleverancier vraagt dit met name een kritische blik naar onze producten. Die moeten de klant in staat stellen aan de AVG te voldoen. Dus hanteren we middelen als encryptie voor de veiligheid, laten we de klant zelf verwijderfrequenties van gegevens bepalen en bovenal bepaalt hij zelf welke gegevens hij wel en niet zal uitvragen en vastleggen. 

6. Privacyfunctionaris

Moet je een privacyfunctionaris aanwijzen? Wij zijn in sommige gevallen verwerker dus vonden we van wel. En het is ook goed als iemand die rol heeft. Het is van groot belang dat we zorgvuldig met de AVG omgaan. Voorlopig heb ik hem even zelf en valt het samen met mijn ontdekkingsreis in AVG-land.

7. Meldplicht datalekken

Datalekken wil niemand en als Kodision zullen we er alles aan doen dat we ze niet zullen krijgen. Niet als organisatie maar zeker niet als leverancier. Niet voor niets pentesten we onze software regelmatig. Maar als ze zich voordoen of als er zich bij een klant een lek voordoet dan melden we dat natuurlijk.

8. Verwerkersovereenkomst

De verwerkersovereenkomst is in korte tijd een populair document geworden. Ik heb al vele varianten voorbij zien komen. Iedere klant en leverancier heeft het liefst zijn eigen standaarddocument. Belangrijke vraag is wanneer is hij nu precies nodig en verplicht. En hoe ga je er dan mee om? Zijn sommige bepalingen zoals toestemming rond derden wel werkbaar?

9. Leidende toezichthouder

Kodision heeft wel internationale klanten (o.a. België, Zweden, Thailand) maar alleen een vestiging in Nederland. Dit betekent dat de autoriteit persoonsgegevens de partij is die ons in de gaten mag houden.

10. Toestemming

Vaak vinden we het vastleggen van gegevens heel vanzelfsprekend en vatten we de toestemming impliciet op. De wet vraagt dat dit veel meer expliciet wordt gevraagd en wordt vastgelegd. We zorgen dus dat dit wordt opgenomen in onze processen en op tijd wordt gevraagd.

Deze stappen voeren we dus bij Kodision uit. Bij de vragen vonden en vinden we zoals bovenaan vermeld nog steeds antwoorden en nemen we onze standpunten in. Voer voor toekomstige blogs. Blijf onze blogpagina dus in de gaten houden! Heb je een vraag over dit artikel? Vul het onderstaande formulier in en wij nemen z.s.m. contact met je op!

Geschreven door:

Mario de Bruin