15 feb GDPR-tips voor verantwoordelijken en verwerkers van persoonsgegevens
Corine de Kater, Ron Brouwer en René Bouter
Iedere organisatie die met persoonsgegevens werkt is verantwoordelijk voor het regelen en beschermen van de privacy van die personen. De Nederlandse Wet bescherming persoonsgegevens (Wbp) schreef al voor dat er een schriftelijke overeenkomst moet zijn tussen de verantwoordelijke(n) en de bewerker(s) van persoonsgegevens en wanneer de Europese AVG of GDPR (General Data Protection Regulation) op 25 mei 2018 actief wordt zal dit nog strenger gecontroleerd worden.
In dit artikel staan we stil bij de GDPR en dan meer specifiek bij uw verantwoordelijkheden als organisatie die persoonsgegevens opslaat of (laat) verwerken.
Wie is wie in de GDPR?
De persoon op wie de gegevens betrekking hebben, wordt in de GDPR als de betrokkene aangeduid. Een betrokkene kan iedereen zijn, zoals een patiënt, een cliënt, een student, een medewerker of een vrijwilliger.
Degene die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt, wordt in de GDPR de verantwoordelijke genoemd. Dit zijn uiteindelijk de bestuurders zoals de voorzitter van een College of Raad van Bestuur.
Uiteraard wordt gegevensverwerking in veel organisaties uitbesteed aan een externe organisatie. Denk bijvoorbeeld aan een dienstverlener die uw salarisadministratie regelt. Daarvoor gebruikt de dienstverlener gegevens die op personen teruggeleid kunnen worden. De GDPR noemt de dienstverlener in deze context de verwerker.
Hoe kunt u als verantwoordelijke en verwerker voldoen aan de GDPR?
Verantwoordelijkheid is een breed en rekbaar begrip. Het is dan ook niet eenvoudig om hier invulling aan te geven. Maar geen nood. Wij kunnen u wel een aantal praktische tips geven. De wetgever vindt met betrekking tot verantwoordelijkheid namelijk een aantal zaken belangrijk:
- inzicht: u moet weten welke gegevens u heeft of verwerkt; anders kunt u ze niet beschermen;
- doelbinding en niet meer dan noodzakelijk: u mag enkel privacygevoelige gegevens gebruiken die noodzakelijk zijn;
- transparantie: u moet kunnen aantonen dat u op een bewuste wijze met privacygevoelige gegevens omgaat.
Uiteraard is deze beschrijving van verantwoordelijkheid niet uitputtend maar ze geeft wel 3 praktische handvatten die u kunnen helpen om volgens de geest van de wet te handelen.
Hoe gaat u verantwoordelijk met persoonsgegevens om?
1. Inzicht in de persoonsgegevens waarmee u werkt
We schreven al eerder dat u te allen tijde moet weten welke persoonsgebonden gegevens u bewaart en verwerkt, want als u niet weet met welke gegevens u werkt dan kunt u ze ook niet beschermen. U kunt dit inzicht op de volgende manieren bekomen:
- U kunt met behulp van een Privacy Impact Analyse (PIA), in de GDPR vertaalt naar gegevensbeschermingseffectbeoordeling (GEB), zelf controleren of een product of dienst daadwerkelijk voldoet aan uw privacy-ambitie en aan de wet- en regelgeving van de GDPR.
De PIA geeft uw organisatie inzicht in de risico’s voor de betrokkenen die een gegevensverwerking met zich meebrengt. In een van onze volgende blogs over privacy besteden we meer aandacht aan de PIA.
- Zorg dat u weet waar u de gegevens verwerkt die naar personen herleidbaar zijn. Zo kunt u de privacy van de betrokkene(n) optimaal waarborgen. Wij zien dat veel organisaties dit inzicht nog niet hebben maar dat steeds meer organisaties wel aandacht besteden aan datamanagement en datagovernance om dit inzicht te verwerven.
Ook als u datamanagement en datagovernance (nog) niet op uw agenda heeft staan, zult u acties moeten nemen om tijdig GDPR-compliant te zijn.
Is de betekenis (semantiek) van alle data en begrippen duidelijk? Is het duidelijk waar de creatie van gegevens plaatsvindt? Is het duidelijk waar de gegevens worden opgeslagen, gebruikt, gedeeld, gearchiveerd of vernietigd? Zijn de gegevens zelf direct of indirect herleidbaar naar personen? Zijn de processen die deze gegevens gebruiken inzichtelijk, en welke applicaties ondersteunen deze gegevens?
In principe dient u al deze vragen te kunnen beantwoorden voor u data kan beheersen, in het bijzonder privacygevoelige data.
Veel brancheorganisaties hebben inmiddels concepten beschikbaar die u kunnen helpen uw privacygevoelige data inzichtelijk te maken. Maak daar gebruik van!
2. Doelbinding en minimale gegevensverwerking
Het is een misschien een open deur, maar alleen wanneer u uw privacygevoelige gegevens inzichtelijk heeft, kunt vaststellen of u deze gegevens conform de GDPR-principes gebruikt. U kunt als volgt te werk gaan:
- U kunt er al bij het ontwerpen van producten en diensten voor zorgen dat persoonsgegevens worden beschermd. Dit heet Privacy by Design of Privacy by Default (PbD). In een van onze volgende artikelen besteden we meer aandacht aan PbD.
- Met het “naleven” van bewaartermijnen, iets dat de Wet Bescherming Persoonsgegevens ook al van ons vroeg, geeft u voor een belangrijk deel invulling aan doelbinding en minimale gegevensverwerking. Onze praktijk leert ons echter dat veel organisaties geen bewaartermijnen hebben bepaald en als ze zijn bepaald, data niet consequent aan het einde van de bewaartermijn verwijderen. Wees hier zorgvuldig mee. De GDPR verwacht dit van u!
3. Transparante gegevensverwerking
Als verantwoordelijke en als gegevensverwerker moet u altijd kunnen uitleggen wat u met persoonsgevoelige gegevens doet. Daarvoor kunt u gebruik maken van registers of overzichten. In onze praktijk zien we vaak de volgende registers en overzichten:
- Vanaf 25 mei 2018 geldt er onder de GDPR een algemene documentatieplicht. Organisaties met meer dan 250 personeelsleden in dienst moeten een register voor verwerkingsactiviteiten bijhouden. In bepaalde situaties geldt dat ook voor kleinere organisaties. Dit register heet vaak het verwerkingen- of dataregister.
De wet somt limitatief op welke gegevens u daarin moet opnemen. Hierbij kunt u denken aan polisgegevens, medische gegevens, personeelsgegevens, financiële gegevens, bijzondere gegevens zoals levensovertuiging of strafrechtelijke gegevens, in combinatie met het doel van de verwerking van de gegevens, de betrokkenen, de ontvangers en bewaartermijnen.
Ook hier geldt dat steeds meer brancheorganisaties templates voor dergelijke registers in omloop hebben gebracht. Maak daar gebruik van maar maak het op maat voor uw eigen organisatie!
Als u onder de Wet Bescherming Persoonsgegevens verplicht was om bepaalde verwerkingen te melden bij de toezichthouder (Autoriteit Persoonsgegevens) dan kunt u dit register als vertrekpunt gebruiken. Aanvullend op de WBP eist de AVG dat u bewaartermijnen registreert.
- Register van verwerkers: Veel organisaties hebben een overzicht met gegevensverwerkers. Dit kan een separaat document zijn. Wij zien ook vaak dat het gecombineerd wordt met het verwerkingenregister. De afweging waar u de registratie van verwerkers bewaart heeft vaak te maken met beheersbaarheid.
Als bijvoorbeeld de afdeling inkoop over de verwerkersovereenkomsten gaat dan wordt daar het beheer van het verwerkersregister neergelegd. Uiteraard moet dit register dan wel consistent zijn met het verwerkingenregister.
Overzicht van uitgevoerde PIA’s: In een aantal gevallen (die staan beschreven in richtlijnen) bent u verplicht een PIA (Privacy Impact Analyse) uit te voeren. Wij merken dat reeds vele organisaties een PIA-administratie ingevoerd hebben voor hun eigen bedrijfsvoering en/of om aan te kunnen tonen dat ze bewust met persoonsgegevens omgaan.
- Datalekregister: Onder de documentatieplicht valt ook het datalekregister. U bent verplicht alle inbreuken op persoonsgegevens, de impact en de genomen maatregelen te documenteren.
Tot slot: Maak goede afspraken met uw gegevensverwerker(s)
Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Maak daarom ook goede afspraken met uw gegevensverwerkers. Dit helpt u om een transparante bedrijfsvoering te onderbouwen.
Wij willen benadrukken dat de definitie van ‘gegevens verwerken’ breed is. Ook voor bijvoorbeeld het opslaan van persoonsgegevens bij een cloudprovider of Software as a Service heeft u een verwerkersovereenkomst nodig.
Onder de WBP heeft u ook al verwerkersovereenkomsten afgesloten. De GDPR stelt aanvullende eisen. Het voordeel is dat u geen volledig nieuwe verwerkersovereenkomsten hoeft aan te gaan.
Een pragmatische aanpak is om samen met de juridische afdeling uw bestaande overeenkomsten langs de meetlat van de GDPR te leggen. Waar zitten de of verschillen en hebben uw bestaande overeenkomsten een aanvulling nodig. Dit resulteert, in goed Nederlands, in een ‘fit gap analyse’.
Aan de hand van deze analyse kunt u alle bestaande overeenkomsten beoordelen en een aangepaste overeenkomst aan uw gegevensverwerker(s) voorleggen.
De securityparagraaf vraagt extra aandacht in uw verwerkersovereenkomsten. Onder de GDPR kunt u niet volstaan met het opnemen van de opmerking dat passende beveiligingsmaatregelen zijn getroffen. Dit moet u vertalen naar specifieke requirements. Dat geldt zeker voor risicovolle verwerkingen, bijvoorbeeld als uw verwerker Burger Service Nummers (BSN), medische gegevens of gegevens over etnische afkomst te verwerken krijgt.
Als u nog geen GDPR-bestendige verwerkersovereenkomsten heeft voorgelegd aan uw verwerkers, dan raden wij u aan dit snel te doen. Onze ervaring leer ons dat een verwerker niet altijd zomaar uw voorstel tot aanpassing accepteert. Afstemming kan zomaar een paar maanden duren, en hierdoor bent u mogelijk niet tijdig GDPR-compliant.
Tijd voor actie!
De GDPR staat voor de deur. Om vanaf 25 mei 2018 overeenkomstig de regelgeving georganiseerd te zijn moet u nu als organisatie uw verantwoordelijkheden in kaart brengen en borgen. In dit artikel beschreven we 3 punten die voor de wetgever van belang zijn:
- inzicht: u moet weten welke gegevens u heeft of verwerkt; anders kunt u ze niet beschermen;
- doelbinding en niet meer dan noodzakelijk: u mag enkel privacygevoelige gegevens gebruiken die noodzakelijk zijn;
- transparantie: u moet kunnen aantonen dat u op een bewuste wijze met privacygevoelige gegevens omgaat, en ervoor zorgen dat ook de gegevensverwerker(s) waar u mee samenwerkt dit doen.
Heeft u vragen of wilt u meer informatie over de GDPR of uw verantwoordelijkheden in het bijzonder? Aarzel niet en stel hieronder uw vraag of neem contact op via +31 (0) 88 000 54 00 of info@divetro.nl . Wij helpen u graag!
Corine de Kater helpt organisaties in de rol van projectmanager en implementatiemanager verder met het realiseren en “laten landen” van tastbare veranderingen. Ruim 20 jaar werkt zij op het snijvlak van business en ICT waarbij zij zich de afgelopen jaren heeft toegelegd op privacy en informatiebeveiliging.
Oplossingen bedenken voor Informatiebeveiligingsvraagstukken is de passie van Ron Brouwer. Zit u met een uitdaging op het gebied van informatiebeveilingsbeleid, baselines of het definiëren of invoeren van maatregelen, dan kunt u hem bereiken via ron.brouwer@divetro.nl of 026-4436790.
Rene Bouter is meer dan 10 jaar werkzaam in de security en heeft een brede kennis en ervaring op het gebied van fysieke beveiliging, business continuity en informatiebeveiliging. Daarnaast ontwikkelt en geeft Rene verschillende trainingen op het gebied van security. Als consultant is hij betrokken bij verschillende ISO27000 en NEN7510 implementatietrajecten voor organisaties in de overheid, financiën en de zorg.