Gastexpert: Wetgevingen omtrent privacy en de tools om eraan te voldoen

De AVG draait in beginsel om het verzamelen van persoonsgegevens. We weten allemaal dat deze niet op straat mogen belanden en dat we hier als organisatie verantwoord mee om moeten gaan. De AVG bepaalt op basis waarvan je als organisatie persoonsgegevens mag verzamelen. De belangrijkste hierin is toestemming van de gebruiker, maar ook vitale belangen, wettelijke verplichtingen of een overeenkomst kan betekenen dat je persoonsgegevens mag bewaren. Waar het om draait is dat je geen persoonsgegevens in een systeem hebt opgeslagen, zonder dat dit vastgelegd is. Heb je een contract met een bepaalde klant, dan staan de contactgegevens van deze klant vastgelegd in een overeenkomst. Het gaat hierbij om relevante gegevens zoals NAW en bijvoorbeeld zelden om het lievelingsrestaurant van je contactpersoon.

De voorbereiding

Mocht een organisatie wel willen weten wat iemands lievelingsrestaurant is, of andere bijzondere persoonsgegevens willen bewaren als ras, politieke voorkeur of strafrechtelijk verleden, dan dient er binnen de organisatie iemand als functionaris voor de gegevensbescherming (FG) te worden aangewezen. Deze rol is ook verplicht voor overheden en publieke organisaties en voor organisaties die als kernactiviteit individuen volgen (bijvoorbeeld een ziekenhuis). De salarisadministratie van een organisatie is ondersteunend aan de bedrijfsvoering en valt dus buiten de kernactiviteiten. De FG opereert onafhankelijk en dient actieve steun te krijgen uit het management. Daarnaast dient een FG voldoende tijd en ruimte te krijgen voor het uitoefenen van zijn taken en toegang te hebben tot alle verzamelde persoonsgegevens.

Gaat jouw organisatie een nieuwe website lanceren waarop gebruikers kunnen registreren? Dan is het goed om vooraf, middels het Privacy By Design-principe, te voldoen aan de wetgeving. Alle bekende voorbeelden als het niet standaard aanvinken van het 'ja ik ga akkoord-vinkje' zijn hierbij van toepassing. Zodra de wet van kracht is kan een organisatie worden verplicht een DPIA uit te voeren. Dit is een Data Protection Impact Assessment waarmee vooraf de privacyrisico’s van een bepaalde gegevensbewerking in kaart worden gebracht. Op dit moment is er nog geen duidelijk overzicht van wanneer een organisatie verplicht is een dergelijk onderzoek uit te voeren.

De techniek

Wanneer een organisatie meer dan 250 medewerkers telt, is deze verplicht een register bij te houden met alle verwerkingen van persoonsgegevens. Hierin staat opgenomen om welke persoonsgegevens het gaat en met welk doel ze verwerkt worden. Heeft je organisatie minder dan 250 medewerkers, dan geldt het bijhouden van een dergelijk register enkel in geval van bijzondere persoonsgegevens. Wel is elke organisatie verplicht om aan te tonen dat er wordt voldaan aan de AVG. Dit kan middels een Gegevensbeschermingsbeleid. Wat voor soort gegevens worden er verwerkt, waarom worden deze gegevens verwerkt, dat er niet meer gegevens worden verwerkt dan noodzakelijk en de belangrijkste: welke maatregelen zijn er genomen om deze gegevens te beschermen?

Iedereen snapt dat het niet handig is een kopie te maken van het klantenbestand en deze op een USB-stick rond te laten slingeren. Toch ben je verantwoordelijk voor de awareness van jouw personeel. Hang op, klik weg, dat principe. Daarnaast speelt de techniek een belangrijke rol. 'Ik heb alles uitbesteed' is niet meer voldoende en je moet je bewust zijn van alle risico’s en dit ook aan kunnen tonen. Een beveiligde website, informatie geëncrypt over een internetverbinding mailen en een firewall die volledig up-to-date is zijn allemaal zaken waar je IT-dienstverlener je mee kan helpen. Praat erover, maak een plan en zorg dat alles is vastgelegd. Het zijn zaken die we in het geval van een BHV’er binnen de organisatie al heel normaal vinden. Privacy wordt dat ook.