Volg Software Zaken

Aan de slag met GDPR / AVG in 10 stappen

| Sieuwert van Otterloo | Privacy

Wie met persoonsgegevens werkt (en wie doet dat niet) moet aan de slag om voor mei 2018 te voldoen aan de nieuwe AVG: de algemene verordening persoonsgegevens. Gebaseerd op het 10-stappenplan van de Autoriteit Persoonsgegevens zelf hebben we hieronder uitgelegd wat dit inhoudt. Check zelf met deze lijst of u alles op orde heeft.

Stap 1: Bewustwording

Het is belangrijk dat medewerkers weten dat er extra regels zijn voor persoonsgegevens. Om hiervoor te zorgen, geven veel bedrijven interne security- of privacy-training. Ook het opstellen en verspreiden van personeelsregels voor gebruik van IT is een veelgebruikt middel om iedereen op de hoogte te brengen.

Stap 2: Rechten van betrokkenen

Organisaties moeten aan de slag om te zorgen dat de mensen van wie persoonsgegevens worden gebruikt, hun rechten kunnen uitoefenen. Deze mensen (‘betrokkenen’) hebben recht op inzage, correctie, tijdige verwijdering en soms ook meenemen van data. Organisaties moeten hiervoor aan de slag. Een methode is om contactmogelijkheden overal te vermelden en iemand aanwijzen om verzoeken af te handelen. Een andere mogelijkheid is om te zorgen dat alle profielinformatie door gebruikers zelf ingezien en bijgewerkt kan worden.

Stap 3: Overzicht verwerkingen

Het is binnen de AvG verplicht voor grotere organisaties of voor organisaties met gevoelige gegevens om een ‘register van verwerkingsactiviteiten‘ bij te houden. In dit register houdt u het volgende bij: met welk doel u persoonsgegevens verwerkt, van welke groepen mensen, welke informatievelden u opslaat, wanneer de informatie wordt gewist, met wie de informatie wordt gedeeld, en informatie over beveiligingsmaatregelen.

Wij beiden een gratis template register van verwerkingsactiviteiten. Veel organisaties die met privacy aan de slag gaan, gebruiken de standaard ISO 27001 voor informatiebeveiliging. Wie deze aanpak volgt, houdt een register bij van alle information assets. Het kan handig zijn om dit register te gebruiken als input voor het register verwerkingsactiviteiten.

Stap 4: Data protection impact assessment (DPIA)

Als u gegevensverwerking doet waarbij er mogelijk een hoog risico is, dan is het verplicht om een DPIA of in goed Nederlands een gegevensbeschermingseffectbeoordeling uit te voeren. Het einddocument hiervan moet een beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden bevatten, een beoordeling van de noodzaak, een beoordeling van de risico’s van betrokkenen en beoogde maatregelen om de risico’s aan te pakken. Meer informatie en een gratis template voor de DPIA vindt u in ons artikel Data protection impact assessment template.

Stap 5: Privacy by design & privacy by default

U moet de principes Privacy by design en privacy by default bekendmaken binnen uw organisatie, zodat deze door iedereen worden toegepast. Privacy by design houdt in dat bij het ontwerp van producten en processen al rekening gehouden wordt met privacy. Privacy by Default houdt in dat u alleen persoonsgegevens verwerkt als dit noodzakelijk is.

Stap 6: Functionaris voor de gegevensbescherming

Het is in sommige gevallen verplicht om een speciale Functionaris Gegevensbescherming of DPO aan te wijzen. Het is verplicht voor overheidsorganisaties, wanneer de kerntaken van een organisatie bestaan uit verwerken van persoonsgegevens, of wanneer er gewerkt wordt met bijzondere persoonsgegevens. Deze FG kan een interne medewerker zijn (in dat geval kan SoftwareZaken training bieden) of een externe expert (bijvoorbeeld van SoftwareZaken). De persoon krijgt extra toezichthoudende taken en bevoegdheden.

Stap 7: Meldplicht datalekken

Het is sinds 2016 verplicht om bij elk security-incident na te gaan of er persoonsgegevens zijn gelekt. Als dat zo is, is er sprake van een datalek. Organisaties zijn verplicht om een procedure voor het melden van datalekken op te stellen, zodat datalekken tijdig worden gemeld. Hier staat een voorbeeld van een procedure meldplicht datalekken met daarin alle stappen.

Stap 8: Verwerkersovereenkomsten

Het is verplicht voor bedrijven om een verwerkersovereenkomsten te sluiten met klanten of leveranciers waarmee persoonsgegevens worden gedeeld. In deze overeenkomsten wordt bijvoorbeeld geregeld dat persoonsgegevens alleen gebruikt worden voor afgesproken doelen, dat gegevens worden beveiligd en hoe er omgegaan wordt met datalekken. Meer uitleg over deze overeenkomsten en een template staan hier.

Stap 9: Leidende toezichthouder

Organisaties die in meerdere EU-landen actief zijn, moeten uitzoeken onder welke toezichthouder ze vallen. Voor Nederlandse organisaties alleen in Nederland actief is dit niet zo moeilijk: dat is de Autoriteit Persoonsgegevens (AP). Een overzicht van alle Europese toezichthouders staat hier.

Stap 10: Toestemming

Het is een beetje vreemd om de belangrijke stap ’toestemming’ als stap 10 te noemen, maar we houden dezelfde nummering aan als de Autoriteit Persoonsgegevens in hun AVG in 10 stappen. Om persoonsgegevens te verwerken moet u niet alleen een doel hebben en goede beveiliging, maar in sommige gevallen ook toestemming vragen aan de betrokkenen.

Tot slot

Wie nu aan de slag gaat met deze stappen, kan alles nog ruim voor de deadline van mei 2018 op orde brengen. Meer informatie is op onze website te vinden (zie bijvoorbeeld ons initiatief over Security Verified) of bij de Autoriteit Persoonsgegevens zelf. U kunt u ook aanmelden voor onze Special Interest Group. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit: glenn-carstens-peters via unsplash

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.