Vervolgstappen na de kennnisessie over data privacy

kennissessiie-lastpass

Hartelijk dank voor je deelname aan het webinar van Priviteers, in samenwerking met LogMeIn / LastPass. Wij wensen je vast veel succes met de  implementatie van privacymaatregelen in je organisatie! Na dit webinar bieden we je verschillende vervolgstappen.

Belafspraak

Heb je een vraag over de implementatie van de AVG binnen de organisatie of wil je bijvoorbeeld weten hoe je het beste een dataregister kunt aanleggen? Dan kun je met ons een belafspraak aanvragen. Wij helpen je dan op weg naar een oplossing. Formulier hieronder in het formulier op hoofdlijnen je vraag, dan nemen wij contact met je op.

Informatie over Privit8

In de presentatie hebben we onder andere het volwassenheidsniveau en de AVG breakdown gepresenteerd. Het door Priviteers opgezette framework ‘Privit8’ bevat een verdere toelichting op deze onderdelen en biedt organisaties een helder stappenplan om AVG-compliant te worden. Wij vertellen je hier natuurlijk graag meer over.

Seminar over procesinrichting

Naast (online) webinars biedt Priviteers ook (offline) seminars aan. Bijvoorbeeld over het (her)inrichten van processen in het kader van de AVG. Interesse om deel te nemen aan een seminar op een nog te bepalen locatie? Laat je gegevens dan achter zodat wij je op de hoogte kunnen houden wanneer er eentje gepland staat.

Workshop rond verschillende onderwerpen

Soms is het prettiger om met een kleine groep actief aan een casus te werken. Hands-on en met begeleiding van een data privacy professional. Dan is de AVG-Workshop van Priviteers een goede keus. Tijdens deze workshop behandelen we enkele onderwerpen en geven je inzichten, stappenplannen en toelichtingen zodat je dit direct bij de eigen organisatie kan uitvoeren. En je kunt je vragen natuurlijk ook met de andere deelnemers bespreken. Pragmatisch privacy zeg maar.

Seminar,  workshop of awarenesstraining ‘in-company’

Naast algemene sessies biedt Priviteers ook in-company sessies aan. Dat kan een seminar, workshop of awarenesstraining zijn of natuurlijk ondersteuning bij de implementatie van de AVG. Wij vertellen daar natuurlijk graag over en dat kan telefonisch of persoonlijk.

 

Neem contact met ons op


 

Vragen uit de kennissessie

Tijdens de sessie zijn veel vragen gesteld. We zullen deze vragen op deze pagina kort beantwoorden. Een nieuwe vraag stellen? Dat kan via het formulier hierboven of via mail.

De AVG is van toepassing indien persoonsgegevens worden verwerkt of deze herleidbaar zijn naar een persoonsgegeven. Wanneer een info@ adres naar een organisatie verwijst is er normaal gesproken geen sprake van verwerking van persoonsgegevens. Echter, als de info@ verwijst naar een herleidbare organisatie van bijvoorbeeld een éénmanszaak waarbij de naam van een persoon ook de bedrijfsnaam is het wel een persoonsgegeven. In dat geval zullen de voorwaarden van de AVG dus wel van toepassing zijn.

Ja, onder de AVG is het een verwerker, nu (onder de WBP) nog een bewerker.

De verwerker is diegene die persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke.
Je verwerkt persoonsgegevens ‘in opdracht van een verantwoordelijke’ als je niet zelf het doel en de middelen voor de gegevensverwerking vaststelt, en handelt conform de instructies van de verantwoordelijke. Let even op dat dit ook goed wordt vastgelegd in jullie verwerkingsovereenkomst, bekijk hiervoor https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming#waar-moet-de-verwerkersovereenkomst-onder-de-avg-aan-voldoen-5996.

Mocht je als marktonderzoeksbureau de persoonsgegevens nog voor eigen doeleinden verwerken, bijvoorbeeld voor het ontwikkelen van algemene benchmarks of eigen analyses, dan is er sprake van mede-verantwoordelijkheid.

Als binnen de BI-oplossing persoonsgegevens worden verwerkt, dan is het noodzakelijk een verwerkersovereenkomst te hebben met deze partij. Dit is ook van toepassing als er informatie wordt opgeslagen die, samen met een andere dataset, weer te herleiden is naar personen. Als alleen anonieme gegevens worden verwerkt is het niet noodzakelijk een verwerkersovereenkomst op te stellen.

Wanneer iemand informatie achterlaat om deel te nemen aan een webinar, is er toestemming van de persoon om deze informatie te gebruiken voor communicatie rondom dit webinar. Wanneer andere doeleinden gewenst zijn, bijvoorbeeld een nieuwsbrief, dan zal hier expliciet toestemming voor moeten worden gevraagd met een additionele checkbox. Deze moet overigens ook bewust aangevinkt worden door de persoon en niet vooraf aangevinkt zijn. De e-privacy verordening is hierop van toepassing.

Ja, ook zakelijke e-mailadressen zijn persoonsgegevens. Hiermee valt ook dit gegeven onder de voorwaarden van de AVG.

Om maar met de deur in huis te vallen; het is onmogelijk om exact te bepalen welke beveiligingsmaatregelen voor de AVG noodzakelijk zijn. Dat komt doordat de AVG op het stuk van beveiliging (artikel 32) zeer brede definities gebruikt. Feitelijk gezien staat er dat wat men van je mag verwachten aan ingestelde maatregelen, afgewogen besluiten zijn die door de verantwoordelijke/verwerker bewust zijn afgewogen en vastgelegd. Dat maakt het wat makkelijker want daardoor kun je als organisatie, mits gedocumenteerd en onderbouwd, aan de autoriteit aantonen dat er bewuste keuzes zijn gemaakt.

Dan blijft over: hoe kun je aantoonbaar maken dat je de risico’s hebt onderzocht, beoordeeld en hier acties op hebt ingezet. Daarvoor zijn verschillende stappen nodig. Dit begint meestal met een Privacy Impact Assessment en/of een Data Protection Impact Assessment waarmee je de verwerking van persoonsgegevens onderzoekt op basis van een checklist. De uitkomsten van dit onderzoek moeten dan worden beoordeeld op risico’s en mogelijke oplossingen. Deze leg je vast in een overzicht, zodat je van hieruit verbeteringen kunt inplannen volgens bijvoorbeeld de Plan-Do-Check-Act methode.

Certificeringen (ISO of NEN) en andere standaarden kunnen goed helpen om aantoonbaar te maken dat er processen aanwezig zijn binnen de organisatie om risico’s te beheren. Vaak zitten binnen deze certificeringen namelijk al acties en processen die helpen om risico’s te beheersen. Voor de AVG is momenteel nog geen certificaat dus zal altijd kritisch moeten worden gekeken waar een eventueel bestaande certificering oplossingen biedt.

Overigens is, zoals we in de presentatie ook benoemden, beveiliging slechts één onderdeel van het geheel van benodigde maatregelen. Het geheel moet worden bekeken om de risico’s te beheersen inclusief bewustwording (organisatie), vastlegging van interne processen en gegevens (registers) en systemen (IT).

Priviteers kan hier overigens goed in ondersteunen om dit soort zaken in kaart te brengen, omdat iedere organisatie op een ander startpunt begint en andere wensen heeft. Hier hebben we een methode voor opgezet (Privit8) waarmee onderdelen van de AVG stap voor stap worden behandeld en waarmee ook snel het huidige volwassenheidsniveau kan worden bepaald. Op basis hiervan kan de organisatie zelf of met ondersteuning van Priviteers acties uitzetten om zo te voldoen aan de AVG.

Voor nu succes en mochten we je ergens mee kunnen ondersteunen of zou je met ons willen spreken, dan hoor ik dat natuurlijk graag.

Het is beide een persoonsgegeven. Een herleidbaar persoonsgegeven is iets wat niet direct (maar wel met een klein beetje moeite) tot een persoon te herleiden is. Denk aan een IP-adres of een kenteken van je auto.

Ja, ook leeftijd en een geboortedatum zijn persoonsgegevens.

Wij gaan er gemakshalve vanuit dat de toegezonden informatie wel gewenst is te ontvangen maar dat er een veiligere methode aangeboden is zoals een digitaal en beveiligd portaal. In dat geval kun je als organisatie geen verantwoordelijkheid nemen omdat het individu zelf een bewuste keus heeft gemaakt om het op een minder veilige manier naar jullie toe te zenden. Hoe je er vervolgens als organisatie mee omgaat in proces is wel iets waar je verantwoordelijkheid over zult moeten nemen.

De verwerker is diegene die persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke. Je verwerkt persoonsgegevens ‘in opdracht van een verantwoordelijke’ als je niet zelf het doel en de middelen voor de gegevensverwerking vaststelt, en handelt conform de instructies van de verantwoordelijke. Let even op dat dit ook goed wordt vastgelegd in jullie verwerkingsovereenkomst, kijk hiervoor ook even op de website van de Autoriteit Persoonsgegevens.

Mocht je als marktonderzoekbureau de persoonsgegevens nog voor eigen doeleinden verwerken, bijvoorbeeld voor het ontwikkelen van benchmarks of eigen analyses, dan is er sprake van mede-verantwoordelijkheid.

Met het geven van het visitekaartje geeft de betrokkene jou toestemming om contact op te nemen. De betrokkene kan ook verwachten dat je de gegevens ergens bewaart. Je hoeft niet te melden.

Het wordt anders als je Outlook gebruikt om massamailings te versturen, of als je deze gegevens zou invoeren in een direct mailingsysteem of op een commerciële whatsapp-lijst. Hiervoor heb je expliciete en gedocumenteerde toestemming nodig.

De wet stelt dit niet als harde eis. Letterlijk luidt het betreffende artikel (32 lid 1):

“Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, …. etc.

Inmiddels is multifactor-authenticatie behoorlijk aan het ‘inburgeren’ (= stand van de techniek). Bij een applicatie met een wat hoger risico voor de betrokkene, zou je kunnen stellen dat MFA de passende maatregel is.

Dit is er nog niet, maar zal op termijn wel komen. In artikel 42, lid 1, kun je het volgende lezen:
1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen, met name op Unieniveau, de invoering van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen. Er wordt ook rekening gehouden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen.

Op dit moment is het een kwestie van privacymaatregelen nemen en deze documenteren. De wijze waarop je documenteert is een eigen keuze (op papier, in Excel, of in een van de speciale softwareoplossingen die nu worden aangeboden).

Ja, dat klopt. Overigens geldt dit ook voor strikt papieren personeelsdossiers, ook dan ben je verantwoordelijke.

Er is binnen de AVG niets opgenomen over de kosten die hierbij van toepassing zijn. De verwerkingsverantwoordelijke zal met haar verwerkers moeten afspreken hoe de kosten worden geregeld. De verwerker heeft verplichtingen op beveiligingsgebied waarvan je zou kunnen verwachten dat ze dit onderdeel in de standaardprijsstelling hebben opgenomen. Additionele controles en audits op naleving zijn zaken die veelal binnen bestaande en nieuwe overeenkomsten worden opgenomen. Dat is voor de AVG niet anders.

Ja, het aantal medewerkers is niet van belang. Wanneer je gebruik maakt van de diensten van een verwerker, moet je een verwerkersovereenkomst hebben afgesloten.

Bepaalde onderdelen zijn een vereiste, maar er is niet één standaard. Je zult de inhoud van de overeenkomst moeten aanpassen aan de daadwerkelijke uitwisseling van gegevens en de rolverdeling.
Je vindt bij de Autoriteit Persoonsgegevens een goed overzicht van de onderwerpen die in de verwerkersovereenkomst opgenomen moeten worden: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/algemene-verordening-gegevensbescherming (halverwege de pagina).

Ook een stichting moet zich houden aan de AVG op dezelfde manier als andere verantwoordelijken. De genoemde punten zijn bijzondere persoonsgegevens (medisch), dus dienen zeker onder strikte voorwaarden te worden verwerkt. Het risico voor betrokkenen kan namelijk groot zijn als onbevoegden toegang tot de gegevens krijgen. Gegevens over taakstraffen (strafregelijke gegevens) vallen in een hele andere orde en worden binnen de AVG in artikel 10 behandeld. De kosten kunnen mogelijk worden verlaagd door samen te werken met meerdere stichtingen om zo een deel van de kosten te kunnen delen. De eerste vraag is: moeten deze gevoelige persoonsgegevens echt worden opgeslagen. Zonder deze gegevens zijn aanzienlijk minder processen noodzakelijk en dus lagere kosten.

De eerste vraag is natuurlijk, waarom worden gegevens 10 jaar opgeslagen? Wat is de grondslag hiervoor? Als die er is en bevestigt dat opslag voor 10 jaar noodzakelijk is, valt prima te verantwoorden dat de gegevens niet worden gewist of gewijzigd. Indien die grondslag er niet is zal er kritisch moeten worden gekeken naar de huidige processen. Artikel 5 (1) lid e legt uit hoe backups mogelijk gebruikt kunnen worden.  

De bewijslast ligt bij de organisatie. Vandaar dat het noodzakelijk is alles te documenteren en in processen vast te leggen.

De AVG spreekt over omgekeerde bewijslast. Het is niet aan de autoriteiten per land om controles uit te voeren maar aan organisaties om aan te tonen dat ze voldoen aan de wetgeving. Indien een betrokkene het idee heeft dat de organisatie niet volgens de wet handelt en de organisatie geen of onvoldoende antwoord geeft op de gestelde vragen, kan de betrokkene dit melden bij de toezichthouder in het land. In Nederland is dit de Autoriteit Persoonsgegevens. Deze zullen als eerste de organisatie benaderen met de vraag of ze kunnen aantonen dat ze wel handelen volgens de wet. Er vindt dus geen onderzoek plaats of controle, maar een uitvraag. De organisatie moet immers kunnen aantonen dat ze handelen volgens de wet. Pas als dit niet het geval is kan de Autoriteit besluiten tot een onderzoek en daarbij dwangsommen of boetes opleggen.

In dit geval betreft het een commerciële aangelegenheid en mag de aanbieder aangeven wat hij in ruil voor het leveren van waarde (de whitepaper) retour zou willen zien. Daar ga je als individu bewust mee akkoord. Dat maakt dat de grondslag voor verwerking toestemming van betrokkenen is. Voor de ontvanger die persoonsgegevens ontvangt zullen wel voorwaarden zijn op de manier waarop deze gegevens worden verwerkt en wat ze hiermee willen doen. Het doel dient helder omschreven te zijn, In dit geval is er een ook een andere wet van toepassing, die van de E-Privacy verordening die ook op 25 mei 2018 van kracht zal worden.

Net als nu mag je straks onder de AVG een persoon of organisatie bellen of post sturen met een aanbod, zonder dat je daarvoor toestemming hebt. Maar als je een aanbod verstuurt via een digitaal kanaal, zoals e-mail, whatsapp of sms, heb je wel voorafgaande toestemming nodig.
Onder de nieuwe regels houden mensen het recht om bezwaar te maken tegen klassieke direct marketing (denk bijvoorbeeld aan het bel-me-niet-register). Als iemand zich heeft afgemeld, moet je je daaraan houden. Bied je telefonisch iets aan? Dan moet je tijdens het telefoongesprek wijzen op de afmeldmogelijkheden.

De Autoriteit Persoonsgegevens heeft een tienstappenplan ontwikkeld waarin de onderwerpen worden behandeld. Dit geeft een goed beeld van alle handelingen die moeten worden gedaan.

Kortgezegd, er is geen set van minimale vereisten. Rechten van betrokkenen moeten op alle vlakken worden gerespecteerd en gefaciliteerd. Vanuit beveiligingsoogpunt zijn zeker wel verschillen te vinden tussen wat technisch mogelijk is en marktconform. Op dit onderwerp zou je kunnen zeggen dat er een minimale vereiste is. Maar omdat de specificaties hiervan zeer ruim zijn omgeschreven is ook hier geen concrete vaststelling van een minimum te definiëren.

Load More