AVG, wat doen we ermee? – De 10 stappen
1. Bewustwording
Inderdaad bewustwording! Ja, ook wij als organisatie hebben natuurlijk persoonsgegevens. Maar waar hebben we het dan precies over? Volgens de definitie kom je op het volgende uit: Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare persoon. Dit betekent dat informatie of direct over iemand gaat, of naar deze persoon te herleiden is. Dit kan door unieke kenmerken (bijv. NAW gegevens) maar ook door single out, dus als je iemand uniek uit een groep kan halen. Denk hierbij ook aan een IP adres of een cookie.
Maar we zijn niet alleen een organisatie maar ook leverancier van software. Software die persoonsgegevens kan verwerken. Alleen bepaalt onze klant bij ons of hij dat doet. Wat betekent dat voor onze producten? Onze contracten? En zijn we dan verwerker? Of zijn we dat alleen als we ook de Hosting verzorgen? De AVG raakt meer dan je denkt.
2. Rechten betrokkenen
Bij Kodision hebben we het dan over gegevens van onze klanten, prospects, medewerkers, sollicitanten en leveranciers. Deze scope is helder maar welke rechten moeten we precies kunnen honoreren? Dat een personeelslid zijn gegevens mag inzien is helder, maar moeten we of mogen hem ook vergeten op zijn verzoek? Leuke vragen, antwoorden lijken vanzelfsprekend maar hoe zit dat nu precies?
3. Overzicht verwerkingen
In een groeiende organisatie als Kodision is het goed om de verwerkingen in kaart te brengen. Processen in kaart hebben zorgt voor professionaliteit en biedt mogelijkheid tot optimalisatie. Een AVG is een prima stimulans om hier verder invulling aan te geven. Dan pas wordt duidelijk hoeveel je vastlegt, waar je het allemaal gebruikt. Voor onze organisatie toch veel meer dan ik zelf dacht.
4. Data protection impact design
Zijn de persoonsgegevens op de juiste manier beveiligd? Welke risico’s lopen we met welke impact. Veel wordt bij ons min of meer vanzelfsprekend goed gedaan. Natuurlijk zijn onze systemen beveiligd, is de toegang tot bijv. personeelsdossiers beperkt, maar toch? Het is goed om dit alles nog eens tegen het licht te houden.
5. Privacy by design en privacy by default
Zorgen dat je niet meer persoonsgegevens vastlegt dan nodig is en dat gegevens de juiste bescherming hebben. Dat is hetgeen wat wordt gevraagd. Al vragen en leggen we soms eerder te weinig persoonsgegevens vast dan teveel. Wie herkent de onvolledige CRM registraties niet in zijn organisatie? Maar als softwareleverancier vraagt dit met name een kritische blik naar onze producten. Die moeten de klant in staat stellen aan de AVG te voldoen. Dus hanteren we middelen als encryptie voor de veiligheid, laten we de klant zelf verwijderfrequenties van gegevens bepalen en bovenal bepaalt hij zelf welke gegevens hij wel en niet zal uitvragen en vastleggen.
6. Privacyfunctionaris
Moet je een privacyfunctionaris aanwijzen? Wij zijn in sommige gevallen verwerker dus vonden we van wel. En het is ook goed als iemand die rol heeft. Het is van groot belang dat we zorgvuldig met de AVG omgaan. Voorlopig heb ik hem even zelf en valt het samen met mijn ontdekkingsreis in AVG-land.
7. Meldplicht datalekken
Datalekken wil niemand en als Kodision zullen we er alles aan doen dat we ze niet zullen krijgen. Niet als organisatie maar zeker niet als leverancier. Niet voor niets pentesten we onze software regelmatig. Maar als ze zich voordoen of als er zich bij een klant een lek voordoet dan melden we dat natuurlijk.
8. Verwerkersovereenkomst
De verwerkersovereenkomst is in korte tijd een populair document geworden. Ik heb al vele varianten voorbij zien komen. Iedere klant en leverancier heeft het liefst zijn eigen standaarddocument. Belangrijke vraag is wanneer is hij nu precies nodig en verplicht. En hoe ga je er dan mee om? Zijn sommige bepalingen zoals toestemming rond derden wel werkbaar?
9. Leidende toezichthouder
Kodision heeft wel internationale klanten (o.a. België, Zweden, Thailand) maar alleen een vestiging in Nederland. Dit betekent dat de autoriteit persoonsgegevens de partij is die ons in de gaten mag houden.
10. Toestemming
Vaak vinden we het vastleggen van gegevens heel vanzelfsprekend en vatten we de toestemming impliciet op. De wet vraagt dat dit veel meer expliciet wordt gevraagd en wordt vastgelegd. We zorgen dus dat dit wordt opgenomen in onze processen en op tijd wordt gevraagd.
Deze stappen voeren we dus bij Kodision uit. Bij de vragen vonden en vinden we zoals bovenaan vermeld nog steeds antwoorden en nemen we onze standpunten in. Voer voor toekomstige blogs. Blijf onze blogpagina dus in de gaten houden! Heb je een vraag over dit artikel? Vul het onderstaande formulier in en wij nemen z.s.m. contact met je op!
Geschreven door:
Mario de Bruin