Blog

AVG: in 8 stappen naar compliance met een verwerkingsregister

De AVG wordt op 25 mei 2018 van kracht. Deze Algemene Verordening Gegevensbescherming (of General Data Protection Regulation, GDPR) vervangt de Europese privacyrichtlijn, en daarmee onze Wet bescherming persoonsgegevens (bij Uitvoeringswet AVG). Het bevat de regels voor gegevensverwerking in het licht van privacy. Er is al veel over de AVG geschreven. En dat is opmerkelijk, aangezien er eigenlijk niet eens zoveel verandert. De regels zijn veelal hetzelfde, maar worden hier en daar wat aangescherpt. Wat wel nieuw is, is dat de AVG verantwoording verlangt. Documenteer wat je doet in het verwerkingsregister. Laat zien dat je netjes werkt. Rechtvaardig waarom je het op jouw wijze doet. Leg zaken vast zodat je weet wat je kan doen of welke wijze. En dan is vaak een heleboel gewoon mogelijk.

Verwerkingsregister

De AVG verlangt dus van de verwerkingsverantwoordelijke dat zij de verwerking van persoonsgegevens in kaart brengen en vastleggen. Een goede voorbereiding is het halve werk. Begin daarbij met de inventarisatie: Wat verwerk je, en waarom doe je dat? Aan de hand daarvan kan de verwerking geregistreerd worden in het verplichte verwerkingsregister. Met de informatie die je daarbij nodig hebt kom je tot de vervolgstappen. Door de volgende stappen te doorlopen voldoe je gemakkelijker aan de AVG:

Stappenplan

  1. Inventariseer welke persoonsgegevens de organisatie verwerkt en waarvoor deze worden gebruikt.
  2. Bepaal per persoonsgegeven welke reis deze meemaken om een volledig beeld te krijgen (hoe worden ze verzameld, waar worden ze opgeslagen, aan wie worden ze verstrekt). Leg dit vast in een verwerkersregister:
    1. Naam en contactgegevens van de verantwoordelijke, inclusief concrete afdeling en de verantwoordelijke manager of business owner;
    2. De doeleinden met een omschrijving van de grondslag, waaronder:
      1. Doelbinding, of verenigbare verwerking (en zo ja, onderbouwing)
      2. Gerechtvaardigd belang? Dan ook de onderbouwing van de vereiste belangenafweging.
      3. Toestemming? Leg bewijs vast!
        1. Toestemming moet vrijwillig zijn. Dit betekent met name dat men moet kunnen weigeren toestemming te geven, en dat dat geen gevolgen mag hebben.
        2. Toestemming moet specifiek zijn. De vraag moet in eenvoudige en duidelijke taal (Europees Taalniveau B2) gesteld worden, en mag niet verstopt zijn in een lap tekst zoals algemene voorwaarden of een privacyverklaring. De toestemmingsvraag moet daarnaast gescheiden zijn van andere vragen.
        3. De betrokkene moet geïnformeerd zijn. De organisatie die toestemming vraagt, moet uitleggen wat er gaat gebeuren en op welke manier, wederom in eenvoudige en duidelijke taal.
        4. Toestemming moet ondubbelzinnig zijn. Er mag dus geen twijfel zijn dat men bedoelde toestemming te geven voor het gebruik van persoonsgegevens.
    3. Een omschrijving van betrokkenen;
    4. Een omschrijving van ontvangers; Ontvangers in landen buiten de EU moeten apart worden genoemd;
    5. De bewaartermijnen, motivatie waarom deze termijnen en niet korter en evt. wettelijke bewaartermijnen;
    6. Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid;
    7. Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet u een privacy impact assessment (PIA) uitvoeren (zie hieronder);
    8. E.e.a. kan ook leiden tot nieuwe vragen, zoals hoe de vernietiging van persoonsgegevens gebeurd, of hoe – indien van toepassing – toestemming wordt gevraagd;
  3. De verwerking moet worden gekoppeld aan een beveiligingsbeleid. Er kan een onderverdeling worden gemaakt per soort persoonsgegevens (licht, middel, zwaar) waarvoor je verschillende regels stelt. Denk daarbij aan:
    1. Privacy by design – voor verwerking gebruikte software vanaf de grond af is ontworpen zo dat de privacy van betrokkenen optimaal wordt beschermd.
    2. Privacy by default – alle privacygerelateerde instellingen in de software zo strak mogelijk dicht moeten zitten.
    3. Beveiligingsbeleid: adequate technische en organisatorische beveiligingsmaatregelen gezien het soort gegevens en de te verwachten risico’s; onderbouwing in verwerkingsregister waarbij u onderbouwt waarom uw beveiliging hieraan voldoet; rekening houden met onder meer de kosten en moeite.
  4. Verwerking door derden dienen te worden geregeld in een verwerkingsovereenkomst.
    1. Regel de privacyaspecten van het uitbestede werk, zoals beveiliging, de toegestane handelingen, audits, aansprakelijkheid, hoe om te gaan met verzoeken van betrokkenen en medewerking bij datalekken.
    2. In het geval de verwerking buiten de EER plaatsvindt, dienen daarvoor maatregelen te worden getroffen, zoals EU Model Clauses.
  5. Bij iedere verwerking moet een risico-inschatting worden gemaakt. Bij een hoog risico is een privacy impact assessment vereist.
    1. Eerste beoordeling van de risico’s bij de verwerking dien je te noteren in het verwerkingsregister.
    2. Bij een hoog risico is een volledige PIA vereist: benoem dan ieder risico en de mogelijkheden om dit in te perken. Indien het hoog risico niet kan worden ingeperkt met redelijke middelen is toestemming van de toezichtouder vereist.
  6. Bepaal of een privacy officer vereist is.
    1. Dit is vereist voor overheidsinstanties, instellingen die op grote schaal bijzondere persoonsgegevens (zoals gezondheid, religie of etnische afkomst) verwerken en instellingen die mensen stelselmatig volgen of observeren (recherchebureaus, interesseprofielen als core business).
  7. Informeer betrokkenen tijdig over de verwerking door middel van een privacyverklaring.
    1. De tekst moet duidelijk en begrijpelijk zijn, en op de doelgroep toegesneden. De tekst moet voldoen aan het Europese Referentiekader Talen op niveau B1 of B2. Eenvoudige en alledaagse taal, opgebouwd in een goede structuur waarbij weinig voorkomende termen door de context meteen duidelijk worden.
  8. Bepaal een beleid voor datalekken. Wie is intern verantwoordelijk voor melden. Wie beslist over melden. En wie meldt wanneer bij de toezichthouder en/of betrokken personen?
    1. Is er alleen sprake van een beveiligingslek (zoals zwakke plek in beveiliging, zonder incident)?
    2. Is er sprake van een beveiligingsincident (zoals kwijtraken van usb-stick, zonder verlies van persoonsgegevens)?
    3. Of is er ook sprake van een datalek? Daarbij zijn persoonsgegevens verloren gegaan, of is een onrechtmatige verwerking redelijkerwijs niet uit te sluiten.
    4. Er moet gemeld worden aan de Autoriteit Persoonsgegevens als het daarbij gaat om persoonsgegevens van gevoelige aard, of als er om een andere reden sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
    5. Er moet gemeld worden aan de betrokkene als niet alle gelekte gegevens (goed) versleuteld waren, of als het datalek om andere redenen waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene.
    6. Goede logging en registratie is vereist van wat er gebeurt op de systemen.
    7. Geef een duidelijke indicatie van wat er misging, welke gegevens zijn geraakt en welke vervolgstappen u gaat nemen. Eventueel kan een voorlopige melding worden gedaan.
    8. Let erop dat er ook een meldingsplicht geldt bij een datalek bij verwerking door een verwerker. Maak duidelijke afspraken in de verwerkersovereenkomst over meldingsplicht en medewerking.
    9. Ieder lek moet je intern registreren inclusief verbeterplan om te zorgen dat het niet nogmaals gebeurt.

privacyPrivacybeginselen

Houd bij dit alles de algemene beginselen van behoorlijke privacyverwerking in het achterhoofd. Als je daaraan voldoet, ben je al een heel eind.

  1. Rechtmatig en transparant. Zorg ervoor dat je netjes bent in wat je van plan bent. Doe wat maatschappelijk aanvaardbaar is. En wees er duidelijk en open over. Licht de verwerking toe in een privacyverklaring die gemakkelijk leesbaar is. Zorg ook voor een specifieke grondslag, zoals toestemming, overeenkomst of een gerechtvaardigd belang.
  2. Welbepaald en duidelijk. Laat de verwerking concreet en vastomlijnd zijn. Zorg dat het duidelijk en begrijpelijk is voor de mensen van wie persoonsgegevens verwerkt worden. Benoem in klare taal specifiek wat je gaat doen en waarom in je privacyverklaring en je verwerkingsregister.
  3. Minimalisatie. Verwerk alleen de gegevens die je nodig hebt voor specifieke en rechtmatige doeleinden. Niet meer dan dat. Neem dit op in het verwerkingsregister. 
  4. Juistheid. De verwerkte gegevens moeten correct zijn, en als dat niet het geval is moeten ze aangepast worden. Daar moet je zelf op toezien, maar je moet ook reageren op verzoeken van betrokkenen om inzage, correctie en verwijdering.
  5. Bewaartermijn. Bewaar gegevens alleen zolang noodzakelijk. Daarna moeten ze vernietigd worden.
  6. Integriteit en veiligheid. Beveilig de gegevens op gepaste wijze. 

 

Gerelateerde berichten