ACMO Accountants + Belastingadviseurs

AVG, win een gratis kwetsbaarhedenscan

URL regel op beeldscherm

Op dinsdag 13 maart 2018 is de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna AVG) aangenomen. De AVG is ook wel bekend als GPDR, wat staat voor General Protection Data Regulation. Een Engelse term omdat de wet voortvloeit uit bepalingen die door de EU zijn vastgesteld. Deze wet regelt de privacy van gegevens van personen met ingang van 25 mei 2018 en komt in de plaats van de Wet bescherming persoonsgegevens (ook wel bekend als Wbp). Ook de nieuwe wet wordt gehandhaafd door de Autoriteit Persoonsgegevens (hierna AP). De boete voor het niet handhaven ervan kan oplopen tot € 20.000.000 (u leest het goed!) of -indien hoger- 4% van de omzet. Dus het is relevant om aandacht te schenken aan dit fenomeen.

Te nemen maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn, het:

  1. bijhouden van een register van de verwerkingsactiviteiten,
  2. uitvoeren van een data protection impact assessment (als er een hoog privacy-risico is),
  3. bijhouden van een register van datalekken,
  4. aanstellen van een functionaris voor de gegevensbescherming (voor overheden, als je op grote schaal personen volgt en/of wanneer u als kernactiviteit heeft om bijzondere persoonsgegevens te verwerken (te weten: gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden).
  5. opstellen van een verwerkersovereenkomst als u gegevens laat verwerken door een andere partij (waarin u –kortom- vastlegt dat die andere partij de gegevens niet voor andere doelen gebruikt).

Een onderdeel voor de verwerker is dat deze passende beveiliging toepast. Daarbij wordt bijvoorbeeld “regelmatige beveiligingstesten” genoemd. Er zijn voorbeelden genoeg waarbij de beveiliging te wensen over laat. Dit kan grote gevolgen hebben, kijk maar eens naar een recent probleem bij Facebook. Natuurlijk vindt u dat gegevens van personen veilig moet zijn. En dat willen we stimuleren met een prijs.

Kwetsbaarheden test

We hebben een partij gevonden die uw omgeving(en) op kwetsbaarheden scant. De prijs vinden we meevallen. Het kost € 6,50 per maand om elk kwartaal een test op de omgeving van uw systeem te laten uitvoeren. Uw omgeving is uw server of uw website. Als u beiden omgevingen laat scannen, kost dit € 12,25. Voor de eerste vijf bedrijven bij wie de eerste scan geen enkele bedreiging bevat op beide omgevingen, betalen wij het eerste jaar de kosten van de scan. We hebben wel een aantal voorwaarden om deze prijs in de wacht te slepen.

Prijsvoorwaarden

De voorwaarden voor de gratis kwetsbaarhedenscan:

  1. U neemt de scan via ons af,
  2. U heeft de afgelopen drie jaren nog niet zo’n scan laten uitvoeren,
  3. De scan ziet toe op uw server en uw website,
  4. U bewijst dat u heeft voldaan aan de voorwaarden en wij mogen dit controleren,
  5. De actie loopt tot wij dit bepalen en we kunnen ondertussen de voorwaarden wijzigen.

We zijn benieuwd naar de eerste winnaar!

De winnaar zullen we -na haar instemming- publiceren in het artikel op onze website.
Uiteraard garanderen we niet dat een positieve uitkomst betekent dat uw systeem onfeilbaar is. Maar het zet u en uw systeembeheerder wel weer ‘op scherp’. Sterker nog, u kunt uw systeembeheerder vragen of het systeem veilig is. En welk bedrag u van hem krijgt als het niet zo blijkt te zijn; op die manier kan de eerste scan altijd gratis worden….

Wie valt onder de AVG

Als u persoonsgegevens verwerkt in Nederland of goederen of diensten aanbiedt in Nederland (zelfs als u dit gratis doet) of als u gedrag in Nederland in de gaten houdt, valt u (behoudens enkele uitzonderingen, zoals het Leger) onder deze wet.

Wat valt onder de AVG

Verboden is de verwerking van persoonsgegevens waaruit blijkt:

  • ras of etnische afkomst,
  • politieke opvattingen,
  • religieuze of levensbeschouwelijke overtuigingen,
  • het lidmaatschap van een vakbond,

en de

  • verwerking van genetische gegevens,
  • biometrische gegevens met het oog op de unieke identificatie van een persoon,
  • gegevens over gezondheid,
  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid,

tenzij:

  • betrokkene toestemming heeft gegeven,
  • de verwerking is noodzakelijk is voor een overeenkomst,
  • dit bij wet verplicht is,
  • dit noodzakelijk is voor de vitale belangen van de betrokkene,
  • dit noodzakelijk is voor het algemeen belang of de uitoefening van het openbaar gezag of
  • de verwerking noodzakelijk is voor uw belangen of een derde, zulks naar belangenafweging (met name voor kinderen).

Tip: Vraag uw klant om toestemming van de verwerking van de persoonsgegevens. Deze toestemming moet vrijelijk worden gegeven.

Bijzonderheden in AVG

Iedereen heeft het ‘recht van vergetelheid’. Zodra een relatie u belt, mag hij of zij vragen om uit uw bestanden te worden gewist. Wat doet u met de back-ups van uw systemen? Hoe waarborgt u dat zij ook daarin ‘vergeten’ worden?

Tip: als een relatie onverhoopt met onenigheid wordt verbroken, kan hij of zij op basis van deze wet het u best lastig maken als deze de rechten uit de AVG één voor één ‘uitspeelt’. Aansturen op het recht van vergetelheid is dan misschien een oplossing?

Iedereen heeft een ‘inzagerecht’. Wanneer iemand vraagt om zijn of haar gegevens, moet u die geven, zonder dat u de rechten of vrijheden van anderen tekort doet. Dat vergt mogelijk wel enig handwerk.

Iedereen heeft het recht op ‘dataportabiliteit’. Als iemand wenst dat zijn of haar gegevens worden overgedragen aan een andere partij, moet u de gegevens in een leesbaar formaat overdragen aan de betrokkene. Bijzonder genoeg gaat het hierbij om digitale gegevens en niet om papieren dossiers.

Het recht om de wijze van gegevens(verwerking) aan te passen, waaronder de rectificatie en aanvulling, beperking van gegevens, vragen om een mens mee te laten kijken bij de verwerking of bezwaar te maken tegen de verwerking van gegevens. In deze ene zin staan punten die u veel werk kan bezorgen.

Ten slotte heeft u een ‘verantwoordingsplicht’. U moet aan de AP aantonen dat u aan de AVG voldoet.

Tip: om aan de verantwoordingsverplichting voor de te voldoen kunt u een privacyverklaring opstellen. Daarin kunt u aantonen dat u dat voldoet aan de rechtmatigheid, transparantie, doelbinding en juistheid van de verwerking. Juridische woorden, waarvan u de betekenis op u door kunt laten dringen. Die privacyverklaring kunt u online publiceren.

Pseudonimisering

Verder noemt de verordening een onderdeel om aan de wet te kunnen voldoen, namelijk ‘pseudonimisering’. In de praktijk wordt dit nu al vaak toegepast, maar nog niet voldoende doorgevoerd in de systemen om te voldoen aan de AVG: uw klant kunt u een dossiernummer geven. En vervolgens in de dossiers niet meer verwijzen naar de naam van de klant, maar naar het nummer.

Tip: Hoewel dit niet alle gegevens voldoende beschermt, kan het -helaas- helpen om uw klant een ‘nummer’ te laten zijn. Als een klant contact met u opneemt, weet u vast wel wie u aan de lijn heeft en wat er speelt.

Minimaliseren van de verwerking van persoonsgegevens

De verordening geeft nog een handvat voor het goed uitvoeren van de wet: zoals het minimaliseren van het verwerken van de persoonsgegevens.

Tip: overweeg bij alle persoonsgebonden informatie die u krijgt, of vraag aan de klant, of dat gegeven vastgelegd moet worden.

Afsluiting

Zie voor meer informatie ook ons algemene artikel op onze website over de AVG.

Als u de impact van de wet écht tot u door laat dringen, realiseert u zich dat daaruit ontzettend veel lastige, dure, tijdrovende acties voort (kunnen) komen.
Ik vraag me bijvoorbeeld af hoe de wet staat tegenover de blockchain: daarin wordt onveranderbaar en voor alle betrokkenen zichtbaar vastgelegd wie welke transactie heeft uitgevoerd. Stel dat iemand zich beroept op het recht om vergeten te worden? En hoeveel kerkgenootschappen, fitnesscentra, tandartsen et cetera, hebben een gegevensfunctionaris aangesteld?

Dit artikel geeft een aantal aspecten weer van de wet, maar lang niet alle. Het kan zijn dat we dit artikel aanpassen, hetgeen u kunt vinden op onze website. Maar we willen graag dat bedrijven zich bewust worden van de AVG. En hun motiveren om daaraan te voldoen, mede door het gratis weg te geven van een jaar kwetsbaarhedenscan!