De Europese General Data Protection Regulation (GDPR), oftewel Algemene verordening gegevensbescherming (AVG), treedt vanaf 25 mei 2018 in werking. En vergist u zich niet, de nieuwe wet is géén papieren tijger. De Autoriteit Persoonsgegevens krijgt scherpe klauwen en kan hoge boetes opleggen bij nalatigheid of overtreding. Hoe krijgt u uw zaakjes voor de deadline op orde? En hoe laat je de wet in uw voordeel werken?
De Europese General Data Protection Regulation (GDPR), oftewel Algemene verordening gegevensbescherming (AVG), treedt vanaf 25 mei 2018 in werking. En vergist u zich niet, de nieuwe wet is géén papieren tijger. De Autoriteit Persoonsgegevens krijgt scherpe klauwen en kan hoge boetes opleggen bij nalatigheid of overtreding. Hoe krijgt u uw zaakjes voor de deadline op orde? En hoe laat je de wet in uw voordeel werken?
Wat verandert er?
1. Begrip
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare, natuurlijke persoon. Dus naast een kopie paspoort/rijbewijs of burgerservicenummer, ook (online)data waarmee een persoon met behulp van een (online) identificator (bijvoorbeeld een online alias of IP-adres) geïdentificeerd kan worden, of geïsoleerd kan worden uit een groep.
2. Voor wie
De AVG is er voor alle Europese organisaties (ook kleine) die persoonsgegevens verwerken, maar ook voor organisaties die niet in de EU zijn gevestigd, maar wel gegevens verwerken van EU-inwoners.
3. Plicht
Onder de AVG heeft u een verantwoordingsplicht: u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.
4. Recht
De grootste verandering is het recht van de betrokkenen (naast verzet, inzage en rectificatie) op overdraagbaarheid van zijn data, verwerkingsbeperking (voor (direct) marketingdoeleinden/ profilering bijvoorbeeld) en bezwaar tegen bepaalde verwerkingen. Transparantie hangt daar mee samen: informeer betrokkenen wat u met hun persoonsgegevens doet.
5. Toestemming
Wilt u iemands gegevens verwerken of opslaan, dan moet de persoon daar ‘ondubbelzinnig’ toestemming voor geven (die hij altijd weer kan intrekken).
6. Eisen
De AVG stelt strengere eisen aan de verwerking(sprocessen) van persoonsgegevens: transparant, rechtmatig en behoorlijk. Verwerk alleen noodzakelijke gegevens voor bepaald en uitdrukkelijk omschreven doel (anders verwijderen of anonimiseren), persoonsgegevens moeten correct en actueel en optimaal beveiligd zijn (zowel technisch als organisatorisch).
7. Profilering
Ook profilering wordt aan banden gelegd, al is de nieuwe verordening daar nog niet heel duidelijk over. Betrokkenen hebben het recht om niet te worden onderworpen aan profilering als daar rechtsgevolgen aan zijn verbonden of wanneer het hem in aanmerkelijke mate treft.
8. Effect
De Europese wet vereist een Privacy Impact Assessment (PIA), een beoordeling om te kijken wat het effect is van uw (beoogde) dataverwerkingsactiviteiten op de aantasting van de bescherming van persoonsgegevens. Hier moet u mee aan de slag als u werkt met nieuwe technologieën en er een hoog risico is, gelet op de aard, omvang, context en doeleinden van de verwerking. Een PIA is in ieder geval verplicht bij profilering en vereist een functionaris persoonsgegevens.
9. Derden
U was al verplicht een privacy overeenkomst te sluiten met derden die uw data (persoonsgegevens) verwerken. Nieuw is een aantal verplichte onderdelen die in de overeenkomst moeten staan zoals: doel, soort gegevens, beveiligingsmaatregelen, controlebereidwilligheid, vernietiging of retourneren gegevens naar u. Ook mag deze derde partij niet een andere partij inschakelen zonder uw toestemming.
10. Datalek
De meldplicht datalekken blijft praktisch gelijk. Melding is alleen verplicht aan de AP als het datalek een risico inhoudt voor de rechten van de betrokkenen.
11. Overtredingen en sancties
De Autoriteit Persoonsgegevens kan hoge boetes opleggen bij overtreding of nalatigheid
De AVG versterkt de rechtspositie van personen van wie u eventueel gegevens verwerkt, bijvoorbeeld het recht op dataportabiliteit (overdraagbaarheid). De nadruk van de nieuwe verplichtingen ligt niet alleen op het aantonen van een goed privacybeleid, maar ook op het daadwerkelijk uitvoeren hiervan. En dat is geen sinecure, vindt Anita Vocht. Zij is privacy adviseur en implementatieconsultant bij Oelan. “Het is niet simpel een invuloefening naar aanleiding van de wettelijke eisen. De wet is zeer complex en voor iedere organisatie verloopt het proces anders.” Zo zijn makelaars wellicht verplicht volgens de wet een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is een effectbeoordeling om vooraf het privacyrisico van gegevensverwerking in kaart te brengen om dat vervolgens te verkleinen. Niet voor elke gegevensverwerking moet u een DPIA uitvoeren. Dit geldt alleen als deze een hoog privacyrisico voor de betrokkenen oplevert, bijvoorbeeld als u systematisch en uitvoerig persoonlijke aspecten evalueert, zoals bij profiling. Een handeling die u als makelaar wellicht laat uitvoeren via uw website. Ook als uw gegevensverwerking geen hoog risico omvat, vereist de AVG, naast praktische maatregelen, een andere manier van denken over persoonsgegevens. “Iedereen in het bedrijf moet ervan doordrongen zijn dat privacy serieus genomen moet worden en welke (extra) voorzorgsmaatregelen en handelingen daarbij horen. Dat is soms best lastig. Goede voorbereiding is daarom essentieel.
1. Inventariseren en verbeteren
Het proces begint met het inventariseren van de huidige situatie. Welke persoonsgegevens slaat u waar op (online of fysiek) met wat voor doel (direct mail, transactie)? Zijn ze nog actueel en relevant? Via welke dataprocessen verwerkt u gegevens? Hoe beveiligt u de gegevens en de handelingen met die gegevens? Wat kunt u doen om de beveiliging eventueel te verbeteren om aan de privacywet te voldoen? Verwerking kopie paspoort in combinatie met BSN vereist namelijk extra beveiliging om bijvoorbeeld identiteitsfraude tegen te gaan. Een gestolen identiteit (na hacking of diefstal) kan desastreuze gevolgen hebben voor de slachtoffers. Met een gestolen paspoort en BSN nummer kan een onverlaat bijvoorbeeld onterechte huursubsidies of zorgtoeslagen op naam van de gedupeerde aanvragen.
Ga eveneens na met welke partijen u persoonsgegevens deelt. Is dat in het kader van een wettelijke verplichting, of in opdracht? Vocht: “Als u een bedrijf inschakelt dat voor u persoonsgegevens verwerkt, dient u een overeenkomst af te sluiten met duidelijke afspraken over hoe de data wordt beschermd. Bedenk dat als er iets mis gaat (bijvoorbeeld een datalek), u eindverantwoordelijk blijft.”
2. Privacy dossier en statement
De volgende stap is het documenteren van alle gegevens met betrekking tot opslag, verwerking en overeenkomsten, in een privacy dossier. Vocht: “Transparantie is heel erg belangrijk. Medewerkers moeten van uw privacy stappen op de hoogte zijn als de klant erom vraagt. Betrek ze daarom bij het proces, deel de verantwoordelijkheid.” Het is aan te raden en zelfs verplicht bij een hoog privacy risico, een FP (functionaris persoonsgegevens) aan te stellen. Deze functionaris moet op de hoogte zijn van alles aangaande het privacydossier en gegevens snel kunnen terugvinden of verwijderen. “Wees transparant, duidelijk en ondubbelzinnig naar klanten en bezoekers. Maak duidelijk dat u zorgvuldig met hun persoonsgegevens omgaat, door te delen welke gegevens u van wie verzamelt, hoe lang u deze gegevens bewaart (niet langer dan nodig) en met welke partijen u deze gegevens deelt. Zet dat in een privacy statement op de website”, raadt Vocht aan. Toestemming vragen (via uw website) voor bepaalde privacygevoelige verwerkingshandelingen is eveneens aan te raden. Zie website van de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl. Transparant en integer handelen kan in uw voordeel werken. Klanten zijn dan eerder geneigd juist met u in zee te gaan.
3. Uw website
Naast een professioneler manier van uw processen monitoren en een andere kijk op het verzamelen van persoonsgegevens, wordt door deze nieuwe wet beveiliging van uw computer en uw website flink belangrijker. Arjan Olsder, beveiligingsexpert websites bij websitenazorg.nl, weet daar alles van. “Zolang u op uw website niet naar een BSN nummer vraagt (of iemands gezondheid, ras, godsdienst, strafrechtelijk verleden, seksuele leven of een lidmaatschap van een vakvereniging) zit u voor wat betreft privacyrisico’s op uw website wel goed, maar er is meer. Net als met betrekking tot software op uw computer, verwacht de wet dat u uw website ook goed beveiligt. Dit kan met zogenaamde beveiligingssoftware, maar er zijn nog meer zaken waardoor u kunt voldoen aan de privacywetgeving. Want beveiligt u uw website niet voldoende volgens de AVG, dan bent u nalatig, met alle risico’s van dien.”
Olsder weet uit de praktijk dat men al gauw denkt dat wanneer een SSL (Secure Socket Layer) verbinding is aangelegd (herkenbare groene slotje), alles veilig is. “Dat is niet het geval. SSL zorgt voor een beveiligde verbinding tussen uw website en uw bezoeker, maar is uw website al gehackt, dan is er sprake van een beveiligde verbinding met een onveilige website. Uw website kan virussen en malware verspreiden of onderdeel uitmaken van een phishing of DDoS aanval en, ondanks de SSL, data (ook bijzondere persoonsgegevens) lekken.” Moet u dan net zo veilig zijn als een bank? “Nee”, antwoordt Olsder. “U heeft andere budgetten en prioriteiten. De wet vraagt u naar beste kunnen te handelen.”
No Fishing
Voer liefst dagelijks en handmatig updates (met daarin beveiligingsaanpassingen) voor uw CRM-systeem en plug-ins uit. Heeft u nog geen SSL verbinding, dan kunt u die (meestal) gratis krijgen van uw webhost. Installeer eveneens een Firewall plug-in om te waarschuwen tegen indringers. “En denk nu niet, mijn site is te klein of trekt te weinig bezoekers voor een hacker. Slecht onderhouden sites zijn juist het gemakkelijkst om te hacken. Doordat de eigenaren niet goed opletten, kunnen die langdurig worden ingezet voor aanvallen op andere websites”, benadrukt Olsder. Ook de veiligheid van communicatie per e-mail is belangrijk in de strijd tegen privacyfraude, stelt hij. Verstuur om te beginnen nooit privacy gevoelige informatie via e-mailverkeer, maar per beveiligde verbinding. Verder kunt u de kans op nep-mails en het vissen naar persoonsgegevens uit uw naam verkleinen door het goed afstellen van uw mailserver (doe de zelftest op mail-tester.com) en het installeren van anti-spamsoftware, die frauduleuze mails identificeert. Is uw website goed beveiligd en ingesteld, dan voorkomt u meteen dat uw e-mails in de spambox van uw klanten belanden. Dit is een bijkomend voordeel.
Google’s voorkeur
Niet alleen (potentiele) klanten worden blij van een goed beveiligde website, Google ook! De overheid zal naar verwachting niet direct actief handhaven, maar Google houdt wel direct rekening met uw websitebeveiliging. De webbrowser stelt openlijk dat websites zonder SSL verbinding (maar ook bijvoorbeeld met een oudere CRM-versie) een lagere prioriteit/ranking krijgen in de zoekmachine. Dat treft u in uw portemonnee, want u wordt minder snel gevonden. Olsder: “Dus hoe beter beveiligd en up-to-date, hoe hoger u in de ranking van Google komt.” Het voldoen aan de wet kan dus mooie bonussen opleveren.
Voor meer informatie over de Algemene Verordening Gegevensbescherming zie: www.autoriteitpersoonsgegevens.nl
