Blog Hugo Gerritse (Nsecure): de AVG een jaar later
28-05-19
De invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 heeft veel impact gehad op de omgang met persoonsgegevens door organisaties, en daarmee ook op toegangscontrole en identiteitsmanagement. Hoe staat het ervoor een jaar later? Hoe blijven organisaties in control? Hugo Gerritse (Privacy & Information Security Consultant bij Nsecure) vertelt in deze blog meer over een aantal belangrijke highlights rondom de AVG en geeft praktische tips.
Alhoewel 2018 vooral in het teken stond van voorlichting en bewustwording, ontving de Autoriteit Persoonsgegevens vorig jaar ruim 11.000 privacy klachten, 4.000 tips en 21.000 datalekmeldingen. Het is daarom belangrijk dat privacy management een structurele plek op de agenda blijft houden. Niet alleen omdat de AVG dit vraagt, maar ook omdat medewerkers, bezoekers, contractors en andere belanghebbenden verwachten dat u juist met (persoons)gegevens omgaat.
Strengere controle bij de overheid, zorg en MKB
Dit jaar wordt er strenger gecontroleerd en gehandhaafd door de Autoriteit Persoonsgegevens, met als gevolg dat organisaties sneller een boete kunnen verwachten wanneer zij zaken niet op orde hebben. Met name bij de overheid, zorg en MKB zal er meer en strenger gecontroleerd worden.
Melding en registratie van datalekken
De AVG verplicht organisaties passende technische en organisatorische maatregelen te nemen om datalekken te voorkomen. Een fout is echter snel gemaakt; een verkeerd geadresseerde brief of een mailing waarbij de ontvangers onbedoeld niet in de BCC zijn gezet, gelden al als een datalek. Als het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen, moet het binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.
Ook wanneer dit niet het geval is, moet het datalek in voldoende detail geregistreerd worden. Het is daarom belangrijk altijd goed vast te leggen wat er is gebeurd.
Uit onderzoek van de Autoriteit Persoonsgegevens eind 2018 onder 26 overheidsorganisaties blijkt echter, dat slechts 60% van de onderzochte registers een complete omschrijving van deze verplichte elementen bevat. Een aantal tips voor een AVG-proof datalekkenregister:
• Gebruik één overzichtelijke registratie voor de hele organisatie, of voor elk organisatiedeel waarin dezelfde gegevens worden ingevuld.
• Leg vast of een datalek is gemeld bij de Autoriteit Persoonsgegevens en de betrokken personen en motiveer waarom dat wel of niet is gebeurd. Bewaar het bewijs van die communicatie en neem deze op in de registratie.
• Maak onderscheid tussen corrigerende en preventieve maatregelen. Leg ze beiden vast in het register.
• Beschrijf, indien van toepassing, de rol van de Functionaris Gegevensbescherming bij het incident.
Praktische tips voor effectief privacy management
De AVG stelt brede eisen aan organisaties als het gaat om de verwerking van persoonsgegevens. Welke aandachtspunten uit de praktijk zijn er, een jaar na dato, (onder andere) te benoemen?
1. Stel een Functionaris Gegevensbescherming aan
Organisaties die vanuit hun kernactiviteiten op grote schaal mensen volgen of op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerken, zijn verplicht een Functionaris Gegevensbescherming aan te stellen en aan te melden bij de Autoriteit Persoonsgegevens. Ditzelfde geldt voor overheidsinstanties en publieke organisaties, ongeacht het type persoonsgegevens dat ze verwerken.
Voor organisaties die niet verplicht zijn een Functionaris Gegevensbescherming aan te stellen, biedt het echter een aantal voordelen dit toch te doen. Zo kan deze intern toezicht houden op naleving van de AVG en contact houden met de Autoriteit Persoonsgegevens. Die biedt aangemelde Functionarissen Gegevensbescherming bijvoorbeeld diverse mogelijkheden om vragen te stellen.
Ook worden regelmatig evenementen georganiseerd (zoals op 27 mei 2019 de “Dag van de FG”), waarop de Autoriteit Persoonsgegevens functionarissen voor de gegevensbescherming praktische handvatten biedt voor de uitvoering van hun werkzaamheden. Het aanstellen van een Functionaris Gegevensbescherming biedt betrokkenen, zowel binnen als buiten uw organisatie, bovendien een vast aanspreekpunt voor privacy zaken.
2. Uitvoeren van een DPIA
Een DPIA, oftewel “Data Protection Impact Assessment” (de officiële Nederlandse vertaling luidt “gegevensbeschermingseffectbeoordeling”) is bedoeld om privacy risico’s van een verwerking inzichtelijk te maken. In een aantal gevallen is het verplicht om voorafgaan aan een verwerking een DPIA uit te voeren. Bijvoorbeeld bij toepassing van cameratoezicht of bij het gebruik van biometrische technieken voor toegangscontrole.
Ook bij verwerkingen waar het niet verplicht is een DPIA uit te voeren, kan dit erg nuttig zijn omdat snel inzichtelijk wordt welke maatregelen nodig zijn om aan de AVG te (blijven) voldoen. Bijvoorbeeld bij toepassing van een workflow management software voor het beheersen van toegangsstromen.
Zo kan al bij de ontwerpfase rekening gehouden worden met aspecten als type en soort verwerkte persoonsgegevens, toegang hiertoe en gehanteerde grondslagen en bewaartermijnen. Op internet zijn hiervoor diverse hulpmiddelen te vinden. Zo biedt de Franse toezichthouder CNIL hiervoor een gratis tool (beschikbaar in het Engels). Belangrijk is ook een periodieke (bijvoorbeeld jaarlijkse) toetsing uit te voeren om de actualiteit van de DPIA te borgen.
3. Gebruik certificeringsmechanismen om AVG-compliance aan te tonen
Een certificeringsmechanisme kan helpen om AVG-compliance door uw organisatie aan te tonen, zowel richting uw klanten, waarvoor u mogelijk als verwerker optreedt, als naar betrokkenen. In de AVG wordt geen expliciete verwijzing gemaakt naar specifieke normen of certificatiemechanismen, maar de AVG benoemt wel dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van het voldoen aan de eisen en voorschriften die hierin zijn opgenomen.
Op dit moment zijn er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van (algemene) AVG-certificaten. De verwachting is dat dit op korte termijn zal veranderen; de vraag naar dergelijke certificeringsmechanismen is groot, mede door de brede verantwoordelijkheid die de AVG neerlegt bij organisaties als het gaat om selectie van en toezicht op verwerkers (leveranciers die persoonsgegevens verwerken in opdracht van de organisatie).
Wél al toepasbaar (en inmiddels bijna onmisbaar) is ISO 27001-certificering. De norm beschrijft hoe informatiebeveiliging, een belangrijk aspect van de AVG, procesmatig kan worden ingericht. Met deze certificering kan uw organisatie aantonen te voldoen aan specifieke eisen met betrekking tot beveiliging van (onder andere) persoonsgegevens. Onder andere versleuteling van data, incident management en de bescherming van persoonsgegevens komen hierin aan bod.
Verder in gesprek over de AVG
Nsecure denkt graag met u mee om u te helpen (blijvend) aan de AVG te voldoen. Nsecure beschikt over een CIPP/E (Certified Information Privacy Professional/Europe) gecertificeerde Privacy Consultant. Indien gewenst kan Nsecure advies geven of een DPIA (Data Protection Impact Assessment) uitvoeren voor uw security of workflow management omgeving.
Meer informatie? Neem dan contact met Nsecure op.