AVG: hoe bewijs je je onschuld?

‘Accountability’ is het toverwoord in de General Data Protection Regulation (GDPR), zoals de AVG in het Engels heet. Het is een kernbepaling die al in artikel 5 van de privacyverordening is vastgelegd. Je moet duidelijk maken welke onderdelen van de verordening je moet implementeren en kunnen aantonen hoe je dat hebt gedaan. Ook heb je de verplichting om betrokkenen inzicht te geven in hoe je bijvoorbeeld aan gegevens komt, hoe je ze verwerkt en waarom.

Het niet voldoen aan deze ‘verantwoordingsplicht’ brengt risico’s met zich mee. Kun je na een lek bijvoorbeeld niet aantonen om welke gegevens het precies gaat en hoe die zijn beveiligd, dan kan de boete die de Autoriteit Persoonsgegevens (AP) mogelijk uitdeelt weleens hoger uitvallen. Die boete kan oplopen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dan is het maar beter om je ‘papierwerk’ in ieder geval op orde te hebben.

Registerplicht

De AVG verplicht een groot deel van de organisaties dan ook tot het aanleggen van een ‘register van gegevensverwerkingen’. Hierin staat wat je met gegevens doet, waar de gegevens zijn en waar de mogelijke risico’s zitten. Zonder dit inzicht is het onmogelijk om gegevens te beschermen.

Maar hoe verzamel je voldoende gegevens om een volledig register samen te kunnen stellen? Vijf tips.

1. Start met het uitvoeren van Privacy Impact Assessments

Tijdens een PIA toets je verwerkingen en data uit de betrokken systemen aan de wettelijke eisen. Daarvoor moet je vragen beantwoorden als ‘hoelang bewaart de organisatie de data?’, ‘delen we de data met derde partijen?’, ‘wie heeft er toegang tot de data?’ en ‘hoe is de toegang geregeld?’. De antwoorden leveren informatie op die je ook nodig hebt voor het verwerkingsregister.

2. Schakel de automatische logging in

Log in ieder geval alle handelingen met privacygevoelige data. Als dan de AP op de stoep staat, kun je aantonen: dit heb ik ermee gedaan.

3. Maak gebruik van een datalekfilter

Hiermee creëer je een logboek waarin bijvoorbeeld staat dat ‘meneer Jansen’ via Dropbox een bestand met burgerservicenummers heeft gedeeld en dat ‘meneer Pietersen’ een document met persoonlijke financiële transacties per e-mail heeft verstuurd. Op die manier helpt een datalekfilter aan te tonen wat er precies met bepaalde data is gebeurd. Uiteraard ligt het voor de hand om hetzelfde datalekfilter in te zetten om specifieke communicatiekanalen zoals Dropbox dicht te zetten voor verwerking van persoonlijk identificeerbare data.

4. Intensiveer de monitoring

Strookt de werkelijkheid wel met wat je hebt gedocumenteerd? Of worden er toch ook nog persoonsgegevens verwerkt – of misschien zelfs gelekt – via ‘shadow IT’? Een goede securitymonitoring helpt je om hierachter te komen. Dit inzicht komt vervolgens ook weer van pas bij het melden van een datalek of het sanctioneren van cloudapplicaties voor dataverwerking.

5. Intensiveer de security-awareness

Nieuwe systemen leiden ook weer tot nieuwe verwerkingen die in het register terecht moeten komen. Als marketing een nieuw CRM-systeem in gebruik neemt, moet er wel een belletje gaan rinkelen dat bijvoorbeeld het ‘privacy-office’ dit graag wil weten. Het trainen op bewust gebruik van persoonsgegevens blijft essentieel.

Volgens het beginsel van accountability is het beter dat je zelf proactief meldt dat je een lek hebt gevonden en wat er precies is gebeurd met welke gegevens. De AVG vereist immers dat je dat weet. Het antwoord ‘ik heb geen idee wat er is gebeurd’ wordt niet meer geaccepteerd.