Freshheads wenst je een secure 2018

Op 25 mei 2018 gaat de nieuwe privacywetgeving ofwel de Algemene Verordening Gegevensbescherming (AVG) van start. Een wetgeving die menig ondernemer een grijze bos haren bezorgt. Op 23 november organiseerden wij een sessie, waarin we samen met onze klanten verder inzoomden op deze wetgeving en de concrete gevolgen die dit met zich meebrengt. De bevindingen deze sessie delen we graag met jullie. We stelden wat vragen aan onze security guru Nash van Gool:

What’s new?
Volledig nieuw is de AVG niet. Deze wetgeving is in mei 2016 al in werking getreden, maar bedrijven hebben tot 25 mei 2018 om compliant te worden. De Europese verordening vervangt de Wet bescherming persoonsgegevens (Wbp), welke niet meer helemaal aansluit bij ons huidige digitale tijdperk. Deze oude wet was gebaseerd op een Europese richtlijn, individuele EU landen mochten op basis hiervan hun eigen wetten/invulling formuleren. De nieuwe AVG is een Europese verordening die resulteert in dezelfde wetgeving voor de gehele Europese Unie.  Daarnaast zijn de eisen strenger en wordt er meer verantwoordelijkheid gelegd bij degene die de persoonsgegevens opslaat. Welke data verwerk je? Waarom? Vraag je niet te veel? Waar sla je het op? En wat te doen bij een datalek? Enkele voorbeelden van vragen die organisaties voor zichzelf inzichtelijk moeten krijgen en om moeten zetten in concrete actiepunten voor 25 mei. Met de komst van de AVG nemen ook de boetes een serieuze vorm aan. Er kunnen zelfs boetes tot 20 miljoen of 4% van de jaaromzet gegeven worden.

 

Voor wie is dit belangrijk?
De AVG wetgeving is belangrijk voor iedere organisatie die persoonsgegevens verwerkt. En hier val je nogal snel onder. Persoonsgegevens zijn gegevens die informatie bevatten over een persoon die daardoor identificeerbaar is. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, maar ook haarkleur, geslacht etc. Het feit dat iemand rood haar heeft maakt iemand nog geen identificeerbaar persoon, maar zodra je dit koppelt aan een postcode en een IP-adres, zou je deze persoon in principe kunnen identificeren. Je beschikt dus wellicht over meer persoonsgegevens dan je denkt.

 

Wat zijn de verschillende rollen en verantwoordelijkheden?
Om het verhaal van de nieuwe wetgeving beter te begrijpen is het belangrijk om de verschillende rollen en bijbehorende verantwoordelijkheden uiteen te zetten. Om te beginnen is er de betrokkene, dit is degene waarvan de gegevens verwerkt worden. Daarnaast heb je de verwerkings verantwoordelijke, dit is de organisatie die de data verzamelt voor bepaalde doeleinden, bijvoorbeeld een webshop die de NAW-gegevens, telefoonnummers en emailadressen van haar klanten opslaat om het bestelproces goed te laten verlopen en voor marketingdoeleinden. Deze partij is ‘eigenaar’ van de data en verantwoordelijk voor het correct opslaan van de data, zodat het niet voor de verkeerde doeleinden gebruikt kan worden. In veel gevallen is er ook sprake van verschillende verwerkers van de data. Verwerkers zijn externe partijen die in opdracht van de verwerkings verantwoordelijke aan de slag gaan met de persoonsgegevens. In het geval van het bovenstaand voorbeeld is dat de webontwikkelaar of hosting partij, aangezien zij de database in beheer hebben of een extern marketingbureau dat e-mail marketing verzorgt. Maar ook Google Analytics is een verwerker aangezien je hiermee metingen en analyses kunt uitvoeren op basis van de website bezoeken. Ik raad aan om een lijstje te maken van alle partijen die voor jou data verwerken. Met deze partijen moet een verwerkersovereenkomst opgesteld worden. Dit is een document waarin wordt vastgesteld welke data er wordt verwerkt en hoe daarmee wordt omgegaan. In sommige gevallen dient er zelfs een functionaris gegevensbescherming aangesteld te worden.

 

Een Functionaris-what?
Organisaties die op grote schaal gegevens verwerken dienen een Functionaris Gegevensbescherming (FG) aan te stellen. Een Functionaris gegevensbescherming heeft als taak om bewustzijn te creëren binnen de organisatie, waar nodig het betrokken personeel op te leiden en om een Privacy Impact Assessment (PIA) uit te voeren.

Een PIA is een uiteenzetting van welke gegevens verwerkt worden en wat de mogelijke risico’s zijn voor de betrokkenen bij die verwerking. Overigens is een PIA niet voor iedereen verplicht, maar het dwingt je wel om antwoord te geven op de vragen die je toch moet beantwoorden om aan de AVG te gaan voldoen. Het is dus nooit een slecht idee om dit uit te voeren.

 

#hoedan?
Eén van de kernprincipes van de AVG wetgeving is Privacy by design. Dit houdt in dat je tijdens het opzetten van een nieuwe website, applicatie of platform rekening dient te houden met de privacy van de bezoekers.  Bijvoorbeeld door gevoelige informatie versleuteld op te slaan of de verificatie van belangrijke accounts in twee stappen te laten verlopen. Daarnaast is Privacy by default de nieuwe standaard. Dit houdt in dat de standaardinstelling zoveel mogelijk privacy moet verzekeren. Enkele simpele voorbeelden daarvan zijn: het niet automatisch plaatsen van cookies en het automatisch (openbaar) delen van content.

Daarnaast ben je verplicht transparant te communiceren naar bezoekers. Ellenlange en onduidelijke privacy statements worden geschiedenis en dienen plaats te maken voor korte, duidelijk en specifieke statements over wat je verwerkt, hoe je dit verwerkt en waarom je dit verwerkt.

 

Wat zijn de concrete gevolgen?
Transparantie en dataminimalisatie zijn sleutelwoorden binnen de nieuwe regelgeving. Iemand moet toestemming geven om zijn/haar gegevens op te slaan, maar heeft daarnaast ook het recht om deze gegevens op te vragen, corrigeren en recht op vergetelheid -het recht om geheel uit een database verwijderd te worden. Daarnaast moet je kunnen onderbouwen waarom je bepaalde gegevens opslaat. Wanneer iemand een product bestelt bestaat de mogelijkheid dat je om een telefoonnummer vraagt omdat de bezorgdienst moet kunnen bellen als hij voor een gesloten deur staat. Het achteraf gebruiken van dit telefoonnummer voor sales is in dit geval niet toegestaan, tenzij deze persoon hier toestemming voor heeft gegeven. Aan verzamelde data moet dus een duidelijke reden en doel hangen.

 

Okay, maar hoe wordt je nu compliant?
We know it’s a lot! Waar moet je in hemelsnaam beginnen? De eerste stap is om goed te filteren wat voor jou van toepassing is. Vervolgens dient er geïnventariseerd te worden welke data er wordt opgeslagen, waar dit wordt opgeslagen en of je deze data wel daadwerkelijk nodig hebt. Daarnaast is het belangrijk de data op te slaan met een duidelijk doel (waarvoor je toestemming hebt gekregen van de bezoeker óf wettelijk gezien al toestemming hebt) en je bezoeker hier goed over informeert. Al deze stappen en inventarisaties kun je het beste doorlopen aan de hand van de volgende checklist. Mijn belangrijkste tip: don’t panic! De Autoriteit Persoonsgegevens begint niet op 25 mei massaal boetes uit te delen, het belangrijkste is dat je kunt aantonen dat je je best hebt gedaan om bovengenoemde punten zo goed mogelijk toe te passen en je de nieuwe wetgeving op je netvlies hebt en serieus neemt.

 

Let op, deze blog is onze interpretatie van de nieuwe AVG wetgeving en is geen juridisch advies.

 

Meer weten?

Nash van Gool Backend developer 013 - 5390040