Management

Datamanagement
gargoyle

Dertien AVG-details waar de duivel in schuilt

DHPA en ICTRecht helpen organisaties op weg met gratis factsheets

© CC0 (pixabay),  LunarSeaArt
1 augustus 2017

DHPA en ICTRecht helpen organisaties op weg met gratis factsheets

Per 25 mei volgend jaar wordt in Nederland de Algemene Verordening Gegevensbescherming (AVG) van kracht. Om leden en hun klanten te helpen bij het ontlopen van de megaboetes die de Autoriteit Persoonsgegevens in petto heeft, stelde de Dutch Hosting Provider Association (DHPA) een aantal factsheets op.

De strenger wordende privacywetgeving heeft ingrijpende gevolgen voor organisaties die gebruikers- of klantgegevens beheren. Zowel voor eigenaren als verwerkers van privacygevoelige data wordt het de hoogste tijd zich eens te verdiepen in de Algemene Verordening Gegevensbescherming (AVG). Om ze daarbij op weg te helpen stelde DHPA, in samenwerking met adviesbureau ICTRecht, een vijftal factsheets samen. AGConnect nam ze door en pikte er 13 AVG-weetjes uit:

1. De maximale boete voor het overtreden van de privacywet gaat omhoog naar 20 miljoen euro of 4 procent van de mondiale ondernemingsomzet. Dat kan menig MKB-bedrijf de das om doen.

2. Ook als u de persoon achter een cookie, een IP-adres of een MAC-adres niet bij naam kent, dient u diens gegevens als persoonsgebonden te behandelen.

3. De nieuwe AVG maakt de eigenaar van de data verantwoordelijk voor het informeren van de gebruikers (van een site of een app) over hun rechten. Zoals het recht om de gegevens in te zien of laten verwijderen.

4. Voor IT-processen die hoge risico’s voor de privacy opleveren moet vooraf een privacy impact assessment (PIA) plaatsvinden. Daarbij wordt onder meer nagegaan en vastgelegd welke maatregelen de risicos's kunnen minimaliseren.

5. In de zin van AVG is er al snel sprake voor een hoog risico voor de privacy; onder meer als gegevens door een bigdata-molen worden gehaald of als de operatie gericht is op het beoordelen van personen of hun meldingen (bijvoorbeeld voor klant-acceptatie of voor fraude-detectie)

6. Als bij een PIA geen mogelijkheden om risico’s  te beperken naar voren komen, dan mag het betreffende project pas worden uitgevoerd na inwinning van bindend advies van de Autoriteit Persoonsgegevens.

7. Alle datalekken moeten wel intern worden gedocumenteerd. Dus ook datalekken die, geen schadelijke gevolgen kunnen hebben en dus niet behoeven te worden gemeld bij de toezichthouder.

8. Bedrijven mogen niet meer persoonsgebonden informatie verzamelen dan daadwerkelijk relevant is voor hun bedrijfsvoering. Er moet een beleidsdocument zijn waaruit valt af te leiden wat wel of niet relevant is en waarom. Het verzamelen van gegevens voor 'je weet nooit hoe het in de toekomst nog van pas komt' mag dus niet meer.

9. De standaardinstellingen voor apps en online diensten moeten steeds de instellingen zijn die voor de eigenaar van de gegevens het meest restrictief zijn. De gebruiker van de dienst mag er vanuit gaan dat niet aan de instellingen rommelen de meeste zijn privacy het meest waarborgt en kan de aanbieder van de app of de site desgewenst extra data of gebruiksrecht toekennen.

10. Organisaties met meer dan 250 medewerkers moeten sowieso een register van  verwerkingen van persoonsgegevens bijhouden, ook al zijn die verwerkingen niet risicovol (bijvoorbeeld profiling) en de gegevens niet gevoelig in de zin van de AVG.

11. Voor het bijhouden van een register van  verwerkingen van persoonsgegevens zijn standaard formats beschikbaar. Zo stelt onder meer ICTRecht (het juridisch adviesbureau, dat  de factsheets voor DHPA opstelde) in ruil voor uw contactgegevens, een Excelsheet aan. Dat werkt maar lijkt eigenlijk vooral bedoeld als opstapje naar een meer serieuze oplossing, die ICTRecht online blijkt te hebben op het webadres PrivacyBlox.nl. Gebruik van dat online register kost 79 euro per maand, maar daar krijgen verwerkers naast de registerservice dan ook nog een paar extra's voor, zoals de mogelijkheid om u to-date privacyverklaringen en verwerkersovereenkomsten te genereren.

12. Het opstellen van meldingen van lekken is via PrivacyBlox niet mogelijk. De Autoriteit Persoonsgegevens heeft daar een eigen online loket voor dat geen delegering naar derden faciliteert.

13. Bedrijven die bestanden met klantgegevens laten verwerken door derden (dienstverleners, mogelijk in de cloud) hebben daarvoor de toestemming nodig van de betreffende klanten.

Voor een compleet beeld van de eisen die de AVG gaat stellen, verwijzen we behalve naar de wetstekst [.pdf] zelf, uiteraard naar de factsheets die DHA en ICTRecht online hebben gezet.

Lees meer over
Lees meer over Management OP AG Intelligence
2
Reacties
Leen Roeleveld 15 augustus 2017 00:37

Er zijn volgens mij een aantal onjuistheden in de tekst van het artikel.
1. Onder 4. wordt gesproken over een PIA (Privacy Impact Assessment). Onder de GDPR is dit echter een DPIA (Data Protection Impact Assessment).
2. Onder 10. wordt het volgende gezegd: "ook al zijn die verwerkingen niet risicovol (bijvoorbeeld profiling)". Profiling is juist wel een risicovolle verwerking. In de GDPR tekst wordt profiling herhaaldelijk apart genoemd als verwerking. Zie ook https://ictrecht.nl/factsheets/het-register-van-verwerkingen-van-persoo…. Als er sprake is van bijv. profiling, dan moeten ook organisaties van minder dan 250 medewerkers een register bijhouden van de verwerking van persoonsgegevens.
3. Onder 13 wordt gesteld dat het verwerken van klantgegevens door derden pas mag na toestemming van de desbetreffende klanten. Toestemming ("consent") is 1 van de wettelijke gronden waarop data mag worden verwerkt. Maar het is verstandig dat organisaties eerst kijken of er geen andere wettelijke bases zijn (bijv. noodzakelijk voor uitvoering van een contract, wettelijke eis, etc. (zie art. 6). Uitdrukkelijke toestemming is dus niet vereist als er een andere wettelijke basis is. Dit laat onverlet dat in de Privacy Notice het 'data subject' (individu) transparant en begrijpelijk geïnformeerd moet zijn over welke derde partijen toegang hebben tot zijn gegevens en wat ze er mee doen, etc.

Zo'n kort artikel is fijn omdat het 'hapklaar' is, maar ook wat misleidend, omdat het echt maar een klein deel is van het hele verhaal. Er wordt bijvoorbeeld niets gezegd over de Data Protection Officer, of over het aantonen van Compliance met GDPR ('evidence'), en over de Risk-based approach (Risk Management Framework) die achter GDPR zit en wat grote gevolgen heeft voor de aanpak van GDPR. GDPR is geen kunstje meer, maar een samenhangend geheel waarbij de hele organisatie betrokken moet worden. Bewustwording bij alle medewerkers is dan bijv. ook een belangrijk thema.

Anoniem 02 augustus 2017 12:29

Boeiend hoor, maar poeh, doet AGConnect ook aan tekstredactie?

Reactie toevoegen