De wet AVG

Persoonsgegevens zijn geld waard  

Hackers zijn een reëel gevaar voor de digitale snelweg en daarmee voor de economie. Een 17-jarige brak in bij de KPN voor de fun omdat het kon, de gemeente Amstelveen lag plat door een virus, phishing mails vanuit zogenaamde grote bedrijven zijn gewoon geworden, 3 Friese gemeenten werden het slachtoffer van ransomware en onlangs heeft Exact de wachtwoorden van alle gebruikers moeten resetten vanwege een lek. Dat zijn maar een paar voorbeelden van de duizenden pogingen tot hacken die er dagelijks worden gedaan vanuit de hele wereld.

De wet AVG of GDPR duidelijk uitgelegd

In de zoektocht naar een duidelijke  uitleg wat u als kleine zelfstandige of als groot bedrijf moet en kunt doen hebben wij via OAMKB een duidelijke uitleg gevonden.  

Persoonsgegevens zijn geld waard Ransomware vraagt direct om geld om hun virus te verwijderen. De andere gehackte bedrijven wordt niet om geld gevraagd, want zij bezitten een ander kostbaar goed: persoonsgegevens. Met gegevens van personen kun je als hacker hun bankrekeningen leeghalen, betalingen doen, identiteitsbewijzen verkopen, enz. Die persoonsgegevens moeten in het belang van ons allemaal worden beschermd door de bedrijven die ze bewaren.

AVG of GDPR hier komt de AVG (Algemene Verordening Persoonsgegevens) voor die op 25 mei 2018 in werking treedt. Dit is een Europese richtlijn die de lokale wetten vervangt. De Wet Bescherming Persoonsgegevens (WBP) bestaat straks niet meer. Bijna elk bedrijf bewaart klantgegevens. Sommige bedrijven hebben extra gevoelige informatie. Welke gegevens dat zijn is nu nog niet bekend. De Autoriteit Persoonsgegevens stelt hiervoor een lijst op. Elke onderneming zal tussen nu en 25 mei 2018 moeten nagaan of en in welke mate aan de AVG moet worden voldaan. GDPR is de Engelse benaming van AVG: General Data Protection Regulation.

Waar moet je aan voldoen?

Verantwoording: je moet als bedrijf kunnen aantonen dat je aan de AVG voldoet, dat betekent dat je moet vastleggen hoe je aan onderstaande voldoet: 

Gegevensbeperking: alleen de noodzakelijke gegevens van klanten mogen worden verzameld

Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toestemming voor gegeven en kent zijn rechten

Doelbeperking: de persoonsgegevens mogen voor een legaal doel verzameld worden en mogen niet voor andere zaken gebruikt worden.

Juistheid: de persoonsgegevens moeten juist zijn en blijven.

Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig is.

Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.

Wie moeten er aan de AVG voldoen ? 

De opslag van bedrijven valt buiten de AVG, maar zodra er gegevens van personen worden bewaard valt dit weer binnen de AVG.

Wat moet je doen?

  • Nagaan wat je wel en wat je niet hoeft te doen gezien de aard en aantal van de persoonsgegevens die in je bedrijf worden opgeslagen.
  • Leg de rechten van de betrokkenen vast: het recht op inzage, recht op correctie en verwijdering, recht op data portabiliteit.
  • Ga na hoe je toestemming van mensen kunt aantonen dat je de gegevens mag gebruiken voor jouw bedrijfsactiviteiten. Het moet net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
  • Leg vast welke persoonsgegevens worden bewaard: alléén persoonsgegevens die noodzakelijk zijn. 
  • Maak een overzicht van de verwerking van persoonsgegevens maak een ‘data flowchart´ dat is een grafische weergave van alle datastromen met persoonsgegevens binnen je organisatie. Daar staat in:

- wie/wat de bron is van de datastroom met persoonsgegevens

- hoe je organisatie deze data verkrijgt;

- wie toegang heeft tot de data

- wat de beveiligingsmaatregelen zijn, denk aan antivirus, maandelijkse netwerk audits, desktopbeheer via RMM of een professionele firewall

- waar de data naartoe gaat.

  • Maak een draaiboek voor de Meldplicht datalekken - Je moet alle datalekken documenteren. Er is sprake van een datalek als er bijvoorbeeld een USB-stick is kwijtgeraakt, een laptop is gestolen of een inbraak door een hacker is geweest waar persoonsgegevens op stonden. 
  • Privacy policy: Organisaties zijn verplicht bijvoorbeeld klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens je organisatie verwerkt. Dit kan door middel van een zogenaamde Privacy policy.  Dit staat meestal al bij de juridische documenten op je website maar check deze of deze aan de AVG voldoet. In deze verklaring wordt ook duidelijk met welk doel dit gebeurt, ook als dit slechts gebeurt om een klantenbestand te genereren. Daarnaast moet duidelijk worden welke privacy-rechten deze personen hebben, hoe lang je deze gegevens bewaart en welke beveiligingsmaatregelen je hebt genomen. Check of er binnen de organisatie protocollen en/of richtlijnen aanwezig zijn die toezien op het online gedrag van werknemers?

Denk hierbij aan e-mail- en internetprotocollen.

Indien van toepassing:

  • Privacy Impact Assessment (PIA) - Verplicht PIA uit te voeren bij waarschijnlijk hoog privacy risico bij gevoelige informatie (zie hieronder bij : wat hoef je wanneer niet te doen)
  • Stel een functionaris voor de gegevensbescherming aan (zie hieronder bij “wat hoef je wanneer niet te doen”) 
  • Heb je je gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd) Een verwerker is een ander bedrijf dat toegang heeft tot de persoonsgegevens van jouw bedrijf en klanten. Kijk de overeengekomen maatregelen in bestaande contracten na met de bewerkers of deze nog steeds toereikend zijn. 
  • Heeft je bedrijf meerdere vestigingen of gegevensverwerkingen in meerdere EU-lidstaten, dan heb je maar één privacy toezichthouder.

Wat hoef je wanneer niet te doen?

  • Geen DPO (Data Protection Officer) : middelgrote en kleine ondernemingen (minder dan 250 werknemers) hoeven geen ‘data protection officer’ aan te stellen, tenzij hun kernactiviteiten de verwerking van gevoelige gegevens op grote schaal noodzakelijk maken Sectoren met gevoelige informatie zijn: de financiële sector, zorg, onderwijs, maatschappelijke hulp- en dienstverlening of charitatieve sector
  • Deze bedrijven uit de ¨niet-gevoelige¨ sectoren en met minder dan 250 werknemers zijn vrijgesteld van het bijhouden van een logboek.
  • Geen PIA : de verplichte uitvoering van een zogenoemd privacy impact assessment is voor bedrijven met minder dan 250 werknemers, beperkt. Een dergelijke risicoanalyse, die eventuele interne privacy problemen in kaart moet brengen, is noodzakelijk voor ondernemingen die op grote schaal gevoelige persoonsgegevens verwerken.
  • Geen FG (Functionaris voor de gegevensbescherming) aanstellen als je van minder dan 5000 personen de gegevens bewaart, tenzij je gevoelige gegevens bewaart als bedrijf. Die lijst wordt nog door de Autoriteit Persoonsgegevens bekend gemaakt, maar waarschijnlijk zijn dit: gegevens over iemands gezondheid (medische gegevens), ras, seksuele voorkeur, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden. Ook financiële gegevens, bankrekeningnummers of gegevens over kredietwaardigheid, of fraudegevoelige- of identiteitsgegevens (BSN-nummers) zijn erg gevoelig en kunnen, eventueel tezamen met andere persoonsgegevens, worden gekwalificeerd als ‘bijzondere persoonsgegevens.
  • Waarschijnlijk zal je als je een ZZP-er bent en wel bijzondere persoonsgegevens bijhoudt, zoals individuele artsen of advocaten, niet door het AP worden gezien als een grootschalige verwerker en geldt bovenstaande niet.

Let op: een klant mag klagen bij de Autoriteit Persoonsgegevens, die dan de klacht in behandeling moet nemen. De boetes kunnen worden opgelegd tot maximaal 20 miljoen en 4% van de omzet.

Bron: oamkb