Lees meer over: Privacy


Tijd voor een privacy crisisplan!

De datum 25 mei 2018 nadert snel. De Algemene Verordening Gegevensbescherming (AVG) is dan van toepassing. 90% van de organisaties in Nederland denkt op dit moment niet te voldoen aan de nieuwe wettelijke eisen.[1] Tegelijkertijd blijkt uit de Nationale Privacy Benchmark 2016 van Verdonck, Klooster & Associates (hierna: benchmark), dat privacy door 91% van de respondenten gezien wordt als een expliciete prioriteit. Maar, slechts 42% van de respondenten weet wat er moet gebeuren en is gestart. Kortom, hoewel de voorbereidingen binnen een aantal organisaties is gestart, is het dus niet aannemelijk dat elke organisatie tijdig klaar is voor de AVG. Uit de cijfers blijkt ook dat u zeer waarschijnlijk nog niet écht bent begonnen. Kortom, tijd voor een privacy crisisplan!

De ‘moetjes’ uit de AVG: een opsomming

Het komt goed uit dat de Autoriteit Persoonsgegevens (AP) deze week haar Agenda 2017 heeft gepresenteerd. Het biedt u een kans om, vanuit een risicogebaseerde benadering naar privacy te kijken. Ik hou zelf niet van het woord ‘moeten’,  maar in dit geval kan ik er niet omheen, de wet vereist het en dus ‘moet’ het. Ik schets u eerst even kort de belangrijkste zaken die u moet inrichten, of al ingericht moet hebben.

U moet de betrokkenen (uw klanten, cliënten, medewerkers e.d.) centraal stellen. Zij hebben veel rechten, waaronder het recht om vergeten te worden en het zogenaamde inzage- en correctierecht. Uw beleid en procedures moeten hierop aansluiten.Verder moet uw gegevensverwerking beperkt blijven tot het hoogst noodzakelijke. U moet gegevens uitsluitend gebruiken voor het doel waarvoor u deze hebt gekregen. U moet datalekken melden aan de AP én de betrokkenen (de zogenaamde ‘meldplicht datalekken’) en bewerkersovereenkomsten sluiten met (sub)bewerkers. U moet daarnaast een registratie bijhouden van de verwerkingen die u uitvoert. Het aanstellen van een data protection officer is niet langer vrijblijvend, maar verplicht als u veel gegevens verwerkt. U moet een Privacy Impact Assessment (PIA) uitvoeren om uw risicovolle verwerkingen in kaart te brengen.

Veel ‘moetjes’ in een zeer korte tijd, maar waar moet u beginnen? De toezichthouder legt in 2017 de focus op drie thema’s; profilering, bijzondere persoonsgegevens en beveiliging van persoonsgegevens.

Focus 1: Profilering

De eerste focus van de AP is het thema profilering. Dit gaat over het opstellen van profielen van mensen door allerlei gegevens van hen te verzamelen, te analyseren en met elkaar te combineren. Steeds meer organisaties krijgen vragen over privacy van klanten en van de ondernemingsraad. Uit de benchmark blijkt dat het percentage is gestegen van 65% naar 80% in 2016. Als u doet aan profilering moet u de personen, waarvan u gegevens verwerkt, goed informeren. Bijvoorbeeld in een privacy reglement. Onderdeel daarvan is ook dat u processen inricht voor het inzage- en correctierecht.

Tip 1 – Goede communicatie naar klanten over de omgang met de persoonsgegevens is steeds belangrijker. Gebruik daarom niet alleen een formeel privacy reglement, maar publiceer ook een makkelijk leesbare variant. Maak daarin duidelijk kenbaar hoe u het inzage- en correctierecht hebt ingericht.

Focus 2: Bijzondere persoonsgegevens

Het tweede thema is persoonsgegevens en in het bijzonder het verbod op de verwerking van bijzondere persoonsgegevens. Als u beschikt over gegevens over iemands ras, gezondheid, godsdienst, politieke voorkeur of iemands burgerservicenummer is dit in principe in strijd met de wet, tenzij u onder de uitzonderingssituatie valt. Uit de benchmark blijkt dat 69% niet weet waar de persoonsgerelateerde informatie binnen de organisatie wordt gebruikt. Niet weten waar de gegevens zijn vormt een extra groot risico als het gaat om bijzondere persoonsgegevens.

Tip 2: De basis voor een goede bescherming van (bijzondere) persoonsgegevens is dat u weet waar (HR, cliëntsystemen, DMS systemen, Office e.d.) zich de gegevens bevinden. Voer daarom een analyse uit op de gegevens die u in uw systemen heeft staan en controleer of u deze in voldoende mate beschermt.

Focus 3: Beveiliging van persoonsgegevens

Het derde thema is de beveiliging van persoonsgegevens. Enerzijds bent u al verplicht om ernstige datalekken te melden bij de AP en dit zal een belangrijk thema zijn. Uit de benchmark blijkt dat 72% een proces heeft om opvolging te geven aan een datalek. Naast het inrichten van het proces is het echter van essentieel belang om ook de borging en de evaluatie van de registratie van datalekken goed in te richten. De meldplicht datalekken hangt vanzelfsprekend nauw samen met het noodzakelijke beveiligingsniveau. De toezichthouder richt zich daarom ook op situaties waarin de beveiliging overduidelijk niet op orde is.

Tip 3: U moet organisatorische en technische maatregelen nemen om bijvoorbeeld uw klantportalen, cliëntendossiers of CRM-systeem goed te beveiligen zodat gegevens van uw klanten niet in verkeerde handen terechtkomen. Voer daarom een analyse uit op uw systemen zodat u precies weet of deze systemen, maar ook uw website, klantportalen e.d., voldoende beschermd zijn.

Aandacht voor privacyintegriteit op de werkvloer

Allereerst moet ik natuurlijk zeggen dat u op 25 mei 2018 moet voldoen aan alle eisen uit de AVG en dat de gegeven tips ‘slechts’ een deel van de oplossing zijn. Daarom is het goed om, vanuit een risicogebaseerde benadering, een analyse uit te voeren op de genoemde onderdelen. Hierdoor creëert u inzicht in de mate waarin u compliant bent op de betreffende wetgeving maar ook in welke mate uw medewerkers hiernaar daadwerkelijk handelen. Immers, juist privacy gaat over integer handelen op de werkvloer en verdient daarom de volle aandacht bij de implementatie van de nieuwe AVG.

 

[1] Privacy Governance onderzoek, Volwassenheid van privacybeheersing binnen Nederlandse organisaties, PwC Nederland, januari 2017