Op dinsdag 13 maart 2018 is de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna AVG) aangenomen. De AVG is ook wel bekend als GPDR, wat staat voor General Protection Data Regulation. Een Engelse term omdat de wet voortvloeit uit bepalingen die door de EU zijn vastgesteld. Deze wet regelt de privacy van gegevens van personen met ingang van 25 mei 2018 en komt in de plaats van de Wet bescherming persoonsgegevens (ook wel bekend als Wbp). Ook de nieuwe wet wordt gehandhaafd door de Autoriteit Persoonsgegevens (hierna AP). De boete voor het niet handhaven ervan kan oplopen tot € 20.000.000 (u leest het goed!) of -indien hoger- 4% van de omzet. Dus het is relevant om aandacht te schenken aan dit fenomeen.
De verplichte maatregelen die de AVG concreet noemt zijn, het:
Een onderdeel voor de verwerker is dat deze passende beveiliging toepast. Daarbij wordt bijvoorbeeld “regelmatige beveiligingstesten” genoemd. Er zijn voorbeelden genoeg waarbij de beveiliging te wensen over laat. Dit kan grote gevolgen hebben, kijk maar eens naar een recent probleem bij Facebook. Natuurlijk vindt u dat gegevens van personen veilig moet zijn. En dat willen we stimuleren met een prijs.
We hebben een partij gevonden die uw omgeving(en) op kwetsbaarheden scant. De prijs vinden we meevallen. Het kost € 6,50 per maand om elk kwartaal een test op de omgeving van uw systeem te laten uitvoeren. Uw omgeving is uw server of uw website. Als u beiden omgevingen laat scannen, kost dit € 12,25. Voor de eerste vijf bedrijven bij wie de eerste scan geen enkele bedreiging bevat op beide omgevingen, betalen wij het eerste jaar de kosten van de scan. We hebben wel een aantal voorwaarden om deze prijs in de wacht te slepen.
De voorwaarden voor de gratis kwetsbaarhedenscan:
We zijn benieuwd naar de eerste winnaar!
De winnaar zullen we -na haar instemming- publiceren in het artikel op onze website.
Uiteraard garanderen we niet dat een positieve uitkomst betekent dat uw systeem onfeilbaar is. Maar het zet u en uw systeembeheerder wel weer ‘op scherp’. Sterker nog, u kunt uw systeembeheerder vragen of het systeem veilig is. En welk bedrag u van hem krijgt als het niet zo blijkt te zijn; op die manier kan de eerste scan altijd gratis worden….
Als u persoonsgegevens verwerkt in Nederland of goederen of diensten aanbiedt in Nederland (zelfs als u dit gratis doet) of als u gedrag in Nederland in de gaten houdt, valt u (behoudens enkele uitzonderingen, zoals het Leger) onder deze wet.
Verboden is de verwerking van persoonsgegevens waaruit blijkt:
en de
tenzij:
Tip: Vraag uw klant om toestemming van de verwerking van de persoonsgegevens. Deze toestemming moet vrijelijk worden gegeven.
Iedereen heeft het ‘recht van vergetelheid’. Zodra een relatie u belt, mag hij of zij vragen om uit uw bestanden te worden gewist. Wat doet u met de back-ups van uw systemen? Hoe waarborgt u dat zij ook daarin ‘vergeten’ worden?
Tip: als een relatie onverhoopt met onenigheid wordt verbroken, kan hij of zij op basis van deze wet het u best lastig maken als deze de rechten uit de AVG één voor één ‘uitspeelt’. Aansturen op het recht van vergetelheid is dan misschien een oplossing?
Iedereen heeft een ‘inzagerecht’. Wanneer iemand vraagt om zijn of haar gegevens, moet u die geven, zonder dat u de rechten of vrijheden van anderen tekort doet. Dat vergt mogelijk wel enig handwerk.
Iedereen heeft het recht op ‘dataportabiliteit’. Als iemand wenst dat zijn of haar gegevens worden overgedragen aan een andere partij, moet u de gegevens in een leesbaar formaat overdragen aan de betrokkene. Bijzonder genoeg gaat het hierbij om digitale gegevens en niet om papieren dossiers.
Het recht om de wijze van gegevens(verwerking) aan te passen, waaronder de rectificatie en aanvulling, beperking van gegevens, vragen om een mens mee te laten kijken bij de verwerking of bezwaar te maken tegen de verwerking van gegevens. In deze ene zin staan punten die u veel werk kan bezorgen.
Ten slotte heeft u een ‘verantwoordingsplicht’. U moet aan de AP aantonen dat u aan de AVG voldoet.
Tip: om aan de verantwoordingsverplichting voor de te voldoen kunt u een privacyverklaring opstellen. Daarin kunt u aantonen dat u dat voldoet aan de rechtmatigheid, transparantie, doelbinding en juistheid van de verwerking. Juridische woorden, waarvan u de betekenis op u door kunt laten dringen. Die privacyverklaring kunt u online publiceren.
Verder noemt de verordening een onderdeel om aan de wet te kunnen voldoen, namelijk ‘pseudonimisering’. In de praktijk wordt dit nu al vaak toegepast, maar nog niet voldoende doorgevoerd in de systemen om te voldoen aan de AVG: uw klant kunt u een dossiernummer geven. En vervolgens in de dossiers niet meer verwijzen naar de naam van de klant, maar naar het nummer.
Tip: Hoewel dit niet alle gegevens voldoende beschermt, kan het -helaas- helpen om uw klant een ‘nummer’ te laten zijn. Als een klant contact met u opneemt, weet u vast wel wie u aan de lijn heeft en wat er speelt.
De verordening geeft nog een handvat voor het goed uitvoeren van de wet: zoals het minimaliseren van het verwerken van de persoonsgegevens.
Tip: overweeg bij alle persoonsgebonden informatie die u krijgt, of vraag aan de klant, of dat gegeven vastgelegd moet worden.
Zie voor meer informatie ook ons algemene artikel op onze website over de AVG.
Als u de impact van de wet écht tot u door laat dringen, realiseert u zich dat daaruit ontzettend veel lastige, dure, tijdrovende acties voort (kunnen) komen.
Ik vraag me bijvoorbeeld af hoe de wet staat tegenover de blockchain: daarin wordt onveranderbaar en voor alle betrokkenen zichtbaar vastgelegd wie welke transactie heeft uitgevoerd. Stel dat iemand zich beroept op het recht om vergeten te worden? En hoeveel kerkgenootschappen, fitnesscentra, tandartsen et cetera, hebben een gegevensfunctionaris aangesteld?
Dit artikel geeft een aantal aspecten weer van de wet, maar lang niet alle. Het kan zijn dat we dit artikel aanpassen, hetgeen u kunt vinden op onze website. Maar we willen graag dat bedrijven zich bewust worden van de AVG. En hun motiveren om daaraan te voldoen, mede door het gratis weg te geven van een jaar kwetsbaarhedenscan!