Wat zijn de minimaal noodzakelijke zaken die een mkb-organisatie geregeld moet hebben? Het 10-stappenplan van de AVG-toezichthouder, de Autoriteit Persoonsgegevens (AP), helpt je daarbij.
De AVG-storm vorig jaar lijkt na 25 mei 2018 te zijn geluwd. Wat veel ondernemingen zich op dit moment afvragen, is of ze wat betreft de AVG voldoende hebben geregeld en of dat wat ze hebben gedaan, goed is.
De 10 stappen
Het grootste deel van de Algemene verordening gegevensbescherming (AVG) is niet nieuw en gold al op basis van de Wet bescherming persoonsgegevens. Wat wel nieuw is, is de bepaling dat organisaties moeten kunnen aantonen te voldoen aan de AVG. Dit is de zogenaamde verantwoordingsverplichting. Hiervoor kun je het 10-stappenplan van de AP gebruiken. Hoe vertaal je de 10 stappen vervolgens concreet in de juiste technische en organisatorische beveiligingsmaatregelen? De stappen zijn:
Bewustwording
Rechten van betrokkenen
Verwerkingsregister
Privacy Impact Assessment/gegevensbeschermingseffectbeoordeling (PIA/GEB)
Privacy by design en privacy by default
Functionaris gegevensbescherming
Meldplicht datalekken - incidentenregister
Verwerkersovereenkomsten
Rol Autoriteit Persoonsgegevens
Toestemming als grondslag
Minder relevant voor mkb
Vier onderdelen van het stappenplan zijn voor mkb-organisaties in beginsel minder relevant. Deze zijn het uitvoeren van een PIA, privacy by design en default en de verplichting om een functionaris gegevensbescherming aan te stellen. Verder is de (nieuwe) rol van de Autoriteit Persoonsgegevens een gegeven.
We lichten de zes andere onderwerpen hieronder toe.
Bewustwording
De toezichthouder heeft het werken aan bewustwording op de eerste plaats gezet. Hiermee wordt het belang van dit onderwerp extra benadrukt. Feitelijk houdt het in dat je bedrijf er doorlopend voor moet zorgen dat medewerkers zich bewust zijn van de persoonsgegevens die verwerkt worden binnen jouw dienstverlening en de voorwaarden die hiervoor gelden. Je kunt hier bijvoorbeeld aandacht aan besteden in interne mailings, trainingen of via afdelingsbijeenkomsten. Ook een incident dat zich mogelijk heeft voorgedaan in je bedrijf, kan je hiervoor prima gebruiken.
Rechten van betrokkenen
Betrokkenen zijn bijvoorbeeld je werknemers of klanten. Zij hebben enkele specifieke privacyrechten, zoals het recht op inzage in de geregistreerde gegevens die je over hen hebt en het recht om gegevens aan te passen of te verwijderen. Concreet zal je als bedrijf hier een procedure voor moeten hebben beschreven waarin staat wie wat doet bij een dergelijk verzoek en binnen welke termijn een verzoek moet zijn afgewikkeld.
Verwerkingsregister
Een nieuwe verplichting is dat elke mkb-organisatie een register op moet stellen, waarin onder andere wordt beschreven: welke persoonsgegevens je precies verwerkt, met welk doel en wettelijke grondslag, de specifieke bewaartermijnen, mogelijke andere dienstverleners die je inschakelt (zogenaamde verwerkers) en de beveiligingsmaatregelen die je hebt getroffen. Dit kan op een eenvoudige wijze in een Excel-bestand. Wij hebben hier voorbeelden van beschikbaar.
Het verwerkingsregister geeft je inzicht in wat je hebt geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kan je bepalen in welk proces of activiteit je zaken nog niet hebt geregeld, welke risico’s je mogelijk loopt en of de maatregelen die je hebt getroffen, afdoende zijn. Je kunt dit ook periodiek evalueren.
Meldplicht datalekken
Een datalek komt voort uit een incident met betrekking tot de beveiliging van persoonsgegevens. Je moet als bedrijf een procedure hebben beschreven waarin staat wie wat doet bij een beveiligingsincident dan wel datalek. En ook in welke gevallen je een datalek meldt bij de Autoriteit Persoonsgegevens (binnen 72 uur na ontdekking van het datalek) en in welke gevallen je een datalek meldt bij de betrokken personen. De incidenten en datalekken moeten bijgehouden worden in een incidentenregister. Ook dit kan op een eenvoudige wijze in een Excel-bestand worden gezet.
Verwerkersovereenkomsten
Je bedrijf maakt gebruik van andere leveranciers/serviceproviders die persoonsgegevens verwerken. Dit kan bijvoorbeeld een SAAS-dienstverlener zijn voor je salarisadministratie, een webwinkel of een hosting-leverancier voor de opslag van (persoons)gegevens. Deze leveranciers worden in de AVG verwerker genoemd. In dat geval ben je verplicht zogenaamde verwerkersovereenkomsten af te sluiten met deze leveranciers over de verwerking van persoonsgegevens. Ook je accountantskantoor wordt bij bepaalde opdrachten als verwerker aangemerkt. Wij hebben hiervoor diverse standaard-verwerkersovereenkomsten beschikbaar waarin he terug kunt vinden over welke onderwerpen afspraken moeten worden gemaakt.
Verwerken is een breed begrip en er is snel sprake van een verwerking van persoonsgegevens. Volgens de AVG gaat het onder andere om het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens. Samengevat: alles wat je met persoonsgegevens kunt doen.
Toestemming
Toestemming is een van de wettelijke grondslagen om persoonsgegevens te mogen gebruiken als bedrijf. Toestemming moet op een ondubbelzinnige en specifieke wijze zijn gegeven, bovendien moet de betrokkene volledig zijn geïnformeerd over waarvoor je zijn persoonsgegevens gaat gebruiken. Je moet de voorwaarden om gebruik te kunnen maken van toestemming als grondslag vastleggen in een specifieke procedure. Let ook op dat zodra een betrokkene zijn of haar toestemming intrekt, wat op elk moment kan, je geen gebruik meer kunt maken van deze persoonsgegevens.
Technische en organisatorische beveiligingsmaatregelen
Je bent verplicht passende maatregelen te nemen om de beveiliging van persoonsgegevens te kunnen garanderen. Wat passende maatregelen zijn, is afhankelijk van welke persoonsgegevens je als bedrijf verzamelt en waarvoor je ze gebruikt. Enkele voorbeelden zie je hier:
wachtwoordbeleid en rechten- en autorisatiestructuur inrichten
logging en controle (monitoring) van toegang tot de informatiesystemen
implementatie van actuele beveiligingsupdates
viruscontrole en firewall inregelen
monitoring kwetsbaarheden op het interne en externe netwerk
adequate fysieke beschermingsmaatregelen treffen
procedures voor opslag, onderhoud en vernietiging van data opstellen
procedures voor het behandelen van datalekken opstellen
back up beleid opzetten en uitvoeren adequate back ups