05 apr AVG/GDPR – Wat moet je ermee?
De AVG houdt ondernemers bezig. Iedereen moet er iets mee, maar waar ga je beginnen? Om ondernemers op weg te helpen, heeft Communicatiehuis de Liemers in maart 2018 twee kennissessies georganiseerd. Hieronder een korte samenvatting, wat het is en waar je rekening mee moet houden als je je organisatie wilt voorbereiden op de handhaving van de Algemene Verordening Persoonsgegevens vanaf 25 mei 2018.
Binnen de AVG wordt van je verwacht dat je vastlegt welke data je verzamelt, met welk doel en hoe lang die deze gegevens bewaart. Maar ook wat je moet doen als er data of persoonsgegevens meestal onbewust toch op straat komen te liggen. Daarom moet je nadenken over twee dingen:
A Wat te doen bij datalekken?
B Hoe ga ik om met persoonsgegevens.?
We delen deze informatie met je op basis van de presentaties die Leonie Ouwersloot, advocaat bij JPR Advocaten, voor Communicatiehuis de Liemers heeft verzorgd. Communicatiehuis de Liemers is een samenwerkingsverband tussen Rachel Walraven van Walraven Webwerk en Paula van Remmen van DVVR Communicatie & Creatie.
DATALEKKEN
Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Het gaat hierbij om alle beveiligingsincidenten waarbij de bescherming van persoonsgegevens op enig moment is doorbroken waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.
Voorbeelden: hack waarbij gegevens worden gestolen, gegevens staan op harde schijf of laptop die (uit de auto) wordt gestolen etc.
MELDEN DATALEK
Een datalek moet ALTIJD genoteerd worden (met de afweging waarom er wel/geen melding is gemaakt).
Een datalek moet gemeld worden aan de Autoriteit Persoonsgegevens wanneer de gegevens van gevoelige aard zijn of wanneer er mogelijk sprake kan zijn van ernstige nadelige gevolgen voor de betrokkenen.
Melden moet binnen 72 uur nadat het lek is geconstateerd, via een webformulier op de website van de Autoriteit Persoonsgegevens, of via fax.
WAT KAN / MOET JE DOEN
Breng in kaart welke systemen (digitaal en op papier) binnen de organisatie persoonsgegevens bevatten, wie er toegang heeft tot die gegevens en maak medewerkers/vrijwilligers er bewust van hoe ze met data om moeten gaan. Breng ook in kaart welke externe partijen (boekhouder, hostprovider etc.) toegang hebben tot welke gegevens en maak afspraken met hen.
Maak een protocol datalekken waarin je vast legt hoe te handelen bij een datalek.
ALGEMENE VERORDENING GEGEVENSBESCHERMING
Op 25 mei 2018 treedt de AVG in werking. Dit geldt voor alle organisaties die werken met persoonsgegevens.
In het kort komt het er op neer dat:
- Er niet meer zomaar gegevens van personen verwerkt mogen worden
- De gegevens rechtmatig verkregen moeten zijn
- De gegevens voor een specifiek doel verkregen zijn
- Er niet meer gegevens gevraagd/verzameld mogen worden dan nodig is voor dat doel
- De gegevens regelmatig op juistheid gecontroleerd moeten worden
- Er vooraf aangegeven moet worden hoe lang gegevens bewaard worden (en gegevens niet langer bewaard mogen worden dan nodig).
Er kunnen meerdere grondslagen liggen aan het verzamelen van gegevens:
- Toestemming
- Noodzaak voor overeenkomst
- Wettelijke verplichting
- Vitale belangen van betrokkenen beschermen
- Noodzakelijk vervulling taak algemeen belang
- Gerechtvaardigd belang
Toestemming van betrokkenen is leuk, maar als dat de enige grondslag is, dan vervalt die als de betrokkene zijn toestemming intrekt. Het is dus verstandig ook andere grondslagen mee te nemen, zoals wettelijke verplichting en gerechtvaardigd belang.
Gegevens mogen niet voor andere zaken gebruikt worden dan waarvoor ze zijn verzameld. Als iemand een Mercedes koopt en een e-mailadres achterlaat, mag dat e-mailadres niet gebruikt worden voor het aanbieden van een Ford.
DOCUMENTATIEPLICHT
Als organisatie heb je een documentatieplicht. Je moet kunnen aantonen dat je voldoet aan de AVG. Dus dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen.
Betrokkenen hebben het recht:
- In te zien welke gegevens je van hen hebt opgeslagen
- De gegevens die jij hebt opgeslagen aan te passen
- Vergeten te worden (mits wettelijk mogelijk)
- Op dataportabiliteit – dat hun gegevens in een standaardformaat aangeleverd worden.
BEWERKERSOVEREENKOMST
Worden persoonsgegevens door anderen bewerkt, of hebben anderen toegang tot deze gegevens (bijvoorbeeld de hostprovider, boekhouder, e-mailprogramma’s zoals Gmail en Outlook365, boekhoudprogramma’s in de cloud etc), dan moet met deze organisaties een bewerkersovereenkomst worden afgesloten.
Hierin komt o.a. te staan waar de dienstverlening uit bestaat, welke gegevens verstrekt worden, dat deze gegevens alleen gebruikt mogen worden voor het uitvoeren van de overeenkomst, wie nog meer toegang hebben tot de gegevens, hoe en wanneer een verantwoordelijke wordt geïnformeerd over datalekken, of, en hoe vaak, er een audit gedaan mag worden en de aansprakelijkheid voor datalekken.
CONCLUSIE
- Registreer welke gegevens je waar opslaat, hoe die beveiligd zijn en wie er toegang toe heeft.
- Sluit bewerkersovereenkomsten af met ALLE partijen waarmee data gedeeld wordt.
- Houd een register bij met datalekken én de reden waarom het niet gemeld is aan de Autoriteit Persoonsgegevens.
- Neem (voldoende) maatregelen om de gegevens te beschermen en leg deze overwegingen vast.
Bron: JPR Advocaten
No Comments