Home > Oplossingen > Privacy check

De belangrijkste zaken handig op een rij en doe de privacy-check!

Vrijwel elke organisatie werkt met persoonsgegevens. Daarbij behoort een organisatie zich te houden aan geldende wet- en regelgeving rond privacy, bescherming en beveiliging van persoonsgegevens. Tot voor kort was daarvoor weinig aandacht. Dat gaat in snel tempo veranderen.

Vanaf 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) gelden. De AVG geeft betrokkenen (de mensen van wie gegevens worden verwerkt) meer en verbeterde privacyrechten. Organisaties die persoonsgegevens verwerken krijgen daardoor meer verplichtingen en moeten kunnen aantonen zich aan de AVG te houden. Zo niet, dan kan de toezichthouder hoge boetes opleggen.

Veel organisaties, met name in het MKB, zijn zich nog onvoldoende bewust van de impact van de AVG en de risico’s die zij lopen. 

  • Kent u de geldende wet- en regelgeving en voldoet u daaraan?
  • Treft u al maatregelen om straks klaar te zijn voor de AVG?
  • Of loopt u kans op ernstig verwijtbare nalatigheid, reputatieschade en claims?

Doe de privacy-check of lees eerst verder

 

Voor wie?

De nu nog geldende Wet bescherming persoonsgegevens (Wbp) en de per 25 mei 2018 geldende Algemene Verordening Gegevensbescherming (AVG) is van toepassing op elke organisatie die persoonsgegevens verwerkt. De wet is niet alleen van toepassing op grote complexe databanken, maar ook op eenvoudige administraties en papieren dossiers waarin persoonsgegevens zijn vastgelegd. Kortom: privacyrechten raakt ons allemaal!

Verantwoordelijke(n) en Bewerkers

Verantwoordelijke(n)

De leiding van de organisatie – in termen van de wet de verantwoordelijke – is verantwoordelijk voor naleving van geldende wet- en regelgeving en dient daartoe aantoonbaar passende technische en organisatorische maatregelen te treffen. De verantwoordelijke is dus een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Vragen die daarbij gesteld dienen te worden:

  • Verwerkt mijn organisatie persoonsgegevens? Zo ja, is de verwerking gebaseerd op een wettelijke grondslag?
  • Bestaat voor de verwerking een vooraf bepaald, duidelijk en gerechtvaardigd doel?
  • Is de verwerking ook beperkt tot dat doel? Worden niet méér gegevens verwerkt dan noodzakelijk? Worden de gegevens niet langer bewaard dan noodzakelijk?
  • Zijn de persoonsgegevens op passende wijze beveiligd, zowel in technische als organisatorische zin?
  • Is de organisatie transparant over de verwerking van persoonsgegevens naar de betrokkenen toe?
  • Is er een protocol waarin wordt beschreven hoe te handelen bij een datalek?

Bewerkers

Veel organisaties bewerken persoonsgegevens via derden, de zgn. bewerkers. Denk bijvoorbeeld aan salarisadministrateurs, softwareleveranciers, hostingpartners en marketingbureaus. Een bewerker is niet verantwoordelijk voor de verwerking van de persoonsgegevens. De bewerker heeft wel een aantal afgeleide verplichtingen voor onder meer beveiliging en geheimhouding van de gegevens. In alle gevallen blijft de leiding van de organisatie zelf verantwoordelijk en moet deze erop toezien dat wet- en regelgeving wordt nageleefd door de bewerker(s). De uitvoering van bewerkingen door een of meer bewerkers moet worden geregeld in een bewerkersovereenkomst.

Wet- en regelgeving

 

Reikwijdte

De privacy wetgeving gaat dus niet alleen om (ICT) beveiliging van persoonsgegevens. De privacy wetgeving betreft alle verwerkingen van persoonsgegevens.

Wat zijn persoonsgegevens?

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Bijzondere persoonsgegevens zijn gegevens over:

  • godsdienst of levensovertuiging;
  • ras;
  • politieke voorkeur;
  • gezondheid;
  • seksuele leven;
  • lidmaatschap van een vakbond;
  • strafrechtelijk verleden.

Ook het burgerservicenummer (BSN) is een bijzonder persoonsgegeven, omdat het een uniek en tot een persoon herleidbaar nummer is. Een organisatie mag géén bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. 

Wat valt onder de term 'bewerken'?

Daartoe worden in de Wbp gerekend alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er in ieder geval onder vallen zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Privacy-administratie

Organisaties kunnen met een privacy-administratie aantonen zich aan de geldende wet- en regelgeving te houden. In een privacy-administratie worden onder andere opgenomen een overzicht van alle verwerkingen en de privacy impact assessments (PIA) daarop. Voor elke verwerking dient ook beschreven te worden welke passende technische en organisatorische maatregelen er zijn getroffen om de persoonsgegevens te beveiligen tegen verlies, diefstal of enige vorm van onrechtmatige verwerking.

Privacy impact assessments

Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn om een privacy impact assessment (PIA) uit te voeren. Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Functionaris gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Het aanstellen van een FG is verplicht:

  • voor overheidsinstanties en publieke organisaties;
  • als een organisatie op grote schaal individuen volgt (profiling);
  • als een organisatie op grote schaal bijzondere persoonsgegevens verwerkt.

Wat te doen?

Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens een onderwerp dat hoog op de agenda staat en waarmee zij zich positief willen onderscheiden van concurrerende bedrijven. Helaas zijn er nog veel organisaties, met name in het MKB, die geen maatregelen hebben getroffen om risico’s op reputatieschade, boetes en claims beheersbaar te maken. Wat te doen: 

  • Breng de verwerkingen van persoonsgegevens in kaart en formuleer beleid op het gebied van privacy & security;
  • Bepaal of een functionaris voor de gegevensbescherming – ook wel privacy officer genoemd – nodig is, die deze werkzaamheden kan (helpen) uitvoeren.

Doe de privacy-check: hoe compliant is uw bedrijf?

Toets uw kennis en bepaal zelf of u voldoende maatregelen heeft genomen of kans loopt op ernstige verwijtbare nalatigheid.

Privacy-check

 

Interview in FOCUS

Meldplicht datalekken: hoe zit dat nu?

Een interview met onze collega Olga Javonik.

Wat is essentieel voor bescherming van persoonsgegevens?

“Essentieel voor bescherming van persoonsgegevens is wetgeving die ervoor zorgt dat organisaties die deze gegevens verwerken, verplicht auditable en accountable zijn. Iedere organisatie die persoonsgegevens verwerkt, is verantwoordelijk voor naleving van de wet en dient dit aan te kunnen tonen, onder andere door het voeren van een privacy-administratie. Een burger heeft het recht om de persoonsgegevens die over hem zijn verzameld, in te zien, te weten voor welke doeleinden de persoonsgegevens worden verwerkt, hoe lang zij worden bewaard. Burgers moeten zich bewust zijn van de risico’s, regels, waarborgen en rechten in verband met de verwerking van hun persoonsgegevens.”

Op welke manier handel je tegen datalekken?

“Een veel voorkomend misverstand is dat een datalek op zichzelf een boete oplevert. Het ligt genuanceerder: geen of te weinig maatregelen nemen om een datalek te voorkomen of op tijd melden kan een forse boete opleveren. Zodra een datalek zich voordoet, is er altijd een meldplicht aan de Autoriteit Persoonsgegevens. Indien de inbreuk zelf kan leiden tot nadelige gevolgen voor de betrokkenen, moeten zij ook geïnformeerd worden. Tegelijkertijd moet het opsporen en herstellen van de datalek worden aangepakt. Vervolgens moeten er waarschijnlijk ook nog aanvullende maatregelen genomen worden op technisch en organisatorisch gebied en/of met betrekking tot het proces rond de datalek.”

Wat is de rol van jullie als adviseur daarin?

“De regelgeving op het gebied van gegevensbescherming vraagt om een multidisciplinaire aanpak. Het aanstellen van een Functionaris Gegevensbescherming (FG) kan een organisatie behoeden voor boetes en reputatieschade. ZPACT, een coöperatieve vereniging van ondernemende professionals, kan prima helpen op zowel juridisch als technisch gebied”.