Checklist

In business for people.

5 checks voor de financieel intermediair ter voorbereiding op de Algemene Verordening Gegevensbescherming (AVG)

InleidingUw kantoor verleent verschillende soorten diensten aan uw klanten waarvoor een grote hoeveelheid en diversiteit aan bedrijfs- en persoonsgegevens wordt gebruikt in een complex IT-landschap. Dat maakt u kwetsbaar voor verlies of misbruik van data en voor het niet-compliant zijn met de privacywetgeving. Maar laat u niet leiden door angst voor controles en boetes. Met de checklist uit deze whitepaper, een flinke dosis gezond verstand en het nemen van uw eigen verantwoordelijkheid, is de dienstverlening aan uw klanten ook na 25 mei 2018 nog steeds prima in orde. Daarnaast is de invoering van de AVG een goede gelegen-heid om uw dienstverlening ook naar dit kennisgebied uit te breiden.

INHOUDSOPGAVE

Inleiding 2Wat is de AVG en wat zijn de implicaties voor uw kantoor 3Financieel Intermediairs en de AVG 5Bereid uw kantoor voor op de nieuwe regelgeving 8AVG-checklist voor uw kantoor 9Geraadpleegde bronnen 16Bijlage 1 - Definities uit de AVG 17

2 Unit4 | Financieel Intermediairs en de AVG

Op 25 mei 2018 treedt een nieuwe Europese privacywet in werking: de Algemene Verordening Gegevensbescherming (AVG). Deze verordening is internationaal ook wel bekend onder de naam Ge-neral Data Protection Regulation (GDPR).

Deze regelgeving zal in alle lokale privacywetten binnen de hele EU en Europese Economische Ruim-te (EER) worden geïmplementeerd. De verordening geldt voor alle organisaties die producten of dien-sten verkopen aan burgers in Europa en hun per-soonsgegevens verwerken, inclusief bedrijven op andere continenten. De verordening biedt burgers in de EU en EER meer controle over hun persoons-gegevens en moet waarborgen dat hun informatie in heel Europa goed wordt beschermd. De nieuwe AVG vervangt de gegevensbeschermingsrichtlijn 95/46/EG. De AVG is rechtstreeks van toepassing in elke lidstaat en zal leiden tot een betere harmonisa-tie van gegevensbescherming tussen de EU-landen.

Van organisaties wordt verwacht dat zij kunnen aan-tonen dat de beveiliging effectief is. De AVG bepaalt verder dat verwerking van persoonsgegevens al-leen mag worden uitbesteed aan een verwerker die

afdoende garanties biedt voor de beveiliging ervan. Dit betekent bijvoorbeeld dat bedrijven alleen zaken mogen doen met financieel intermediairs die zo’n garantie kunnen afgeven. En op hun beurt mogen financieel intermediairs alleen verwerkingen uitbe-steden aan partijen die ook een dergelijke garantie kunnen afgeven. De uitbesteding van de verwerking van persoonsgegevens moet zijn geregeld in een zogenaamde Verwerkersovereenkomst waarbij de verwerkers de plicht hebben om het nakomen van de vastgelegde verplichtingen te kunnen aantonen.

Hoewel veel bedrijven inmiddels al eigen privacy-processen en -procedures hebben vastgesteld in overeenstemming met de bestaande richtlijnen, bevat de AVG een aantal nieuwe waarborgen voor EU-Burgers waarvan gegevens worden verzameld. Zodra de AVG van kracht is, dreigen er forse boetes en straffen voor gegevensverantwoordelijken en verwerkers die zich niet aan de regels houden. De AVG houdt hierbij geen rekening met de omvang van organisaties. Het (niet) melden van bijvoorbeeld een datalek kan grote gevolgen hebben, ook voor de reputatie of de waarde van een onderneming.

Definities uit de AVGVoor een goed begrip van de AVG is enige ken-nis van de ‘AVG-terminologie’ noodzakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen.

Wat is de AVG en wat zijn de implicaties voor uw kantoor

3 Unit4 | Financieel Intermediairs en de AVG

Nieuwe kansen: uitbreiding van dienst-verlening De invoering van de AVG betekent niet alleen een gedwongen check van de eigen organisatie en pro-cessen, het biedt daarnaast een mooie gelegenheid voor het introduceren van een nieuwe dienstverle-ning. Als vertrouwde partner kan uw kantoor een rol spelen bij het adviseren of ondersteunen van uw eigen klanten bij het inrichten en op niveau brengen van hun informatiebeveiliging en het tijdig compliant zijn met de (vernieuwde) privacywetgeving. U dient hiervoor natuurlijk wel te beschikken over de beno-digde technische en juridische kennis. Indien dit niet het geval is en dit ook niet op korte termijn gere-aliseerd kan worden, is het wellicht een mogelijk-heid om met een AVG-specialist een gezamenlijke dienstverlening voor uw klanten te ontwikkelen.

De advisering of ondersteuning van klanten heeft dezelfde uitgangspunten als wanneer u uw eigen organisatie voorbereid op AVG-compliancy. Het belangrijkste uitgangspunt is dat de bedrijfsvoering van de desbetreffende organisatie en de daarbij be-horende (bedrijfs-)risico’s als uitgangspunt worden genomen. De aard en omvang van de verwerkingen en de daarbij gebruikte (bijzondere) persoonsge-gevens in combinatie met de aard en omvang de organisatie, dienstverlening, processen, etc. zijn bepalend voor de maatregelen die een organisatie moet treffen.

Om hier inzicht in te krijgen, wordt gestart met een inventarisatie van de verwerkingen en de daarbij te gebruiken persoonsgegevens en een vorm van risicoanalyse. De inventarisatie maakt duidelijk welke maatregelen nodig zijn, naast de maatregelen en procedures die de AVG verplicht stelt. Denk aan passende beveiliging, aan de rechtmatige grond-slag, relatie met betrokkene en een protocol voor het melden van datalekken. De AVG-problematiek bij een organisatie in de zorg is volstrekt anders dan bij een handels- of transportonderneming. Ook het nationaal of internationale karakter van een orga-nisatie speelt een belangrijke rol. De invulling van informatiebeveiliging en privacybescherming zal daarop moeten aansluiten.

Het bij klanten vragen om aandacht voor de pro-blematiek van informatiebeveiliging en privacybe-scherming is altijd een eerst goede stap als start voor advisering. Vragen die daarbij kunnen worden gesteld zijn:

• Zijn uw medewerkers op de hoogte van de nieuwe privacyregels?

• Verwerkt uw organisatie persoonsgegevens, en zo ja, welke gegevens, in welke verwerkingen, waar opgeslagen en voor wie toegankelijk?

• Beschikt uw organisatie over een Functionaris Gegevensbescherming (indien verplicht)?

• Beschikt uw organisatie over passende beveili-ging om de privacy-rechten van de betrokkene(n) van wie u persoonsgegevens verwerkt te kunnen beschermen?

• Beschikt uw organisatie over maatregelen pro-cedures om invulling te kunnen geven aan de rechten van betrokkene(n)?

• Beschikt uw organisatie met betrekking tot de verwerking van persoonsgegevens als verwer-kingsverantwoordelijke/ (sub)verwerker over de vereiste overeenkomsten?

• Beschikt uw organisatie over een protocol/pro-cedures om een datalek te kunnen melden en (indien nodig) betrokkene(n) te informeren?

• Beschikt uw organisatie over maatregelen en pro-cedures om inbreuken/datalekken met betrekking tot persoonsgegevens te kunnen documenteren?

• Zijn uw medewerkers zich bewust van de huidige dreigingen op het terrein van informatiebeveiliging (cybercrime) en de belangrijkste oorzaken van datalekken?

• Weten uw medewerkers wat u in het kader van informatiebeveiliging en privacybescherming van hen verwacht, qua houding en gedrag?

4 Unit4 | Financieel Intermediairs en de AVG

Een Financieel Intermediair maakt bij de uitvoering van zijn werkzaamheden veelvuldig gebruik van de gegevens van zijn klanten. Denk hierbij aan bijvoor-beeld fiscale gegevens, maar ook meer ‘algemene gegevens’ zoals verslagen van besprekingen, corres-pondentie, e-mailverkeer en post op sociale media.Bijna elke vorm van dienstverlening die uw kantoor verleent, heeft verwerking van persoonsgegevens tot gevolg (zie eerdere beschrijving van ‘verwerken’ bij ‘Definities’) en bij elke vorm van verwerking kan inbreuk op de privacy optreden:

• (financiële) adviezen op het gebied van assuranti-en, hypotheken, pensioenen, vastgoed, financiële planning en verzekeringen.

• fiscale en juridische dienstverlening.

De rechten van betrokkenenOp grond van de AVG krijgen betrokkenen meer en uitgebreidere privacyrechten. Zo heeft de betrok-kene straks recht op:

• Transparante informatie en duidelijke communica-tie over de persoonsgegevens die over hem/haar zijn verzameld en worden gebruikt.

• Inzage in zijn persoonsgegevens; welke, aan wie verstrekt, door wie verwerkt en onder welke voor-waarden.

• Rectificatie in het geval van onjuiste persoonsge-gevens.

• Beperking van de verwerking, bijvoorbeeld in het geval van onrechtmatigheid, onjuiste gegevens of wanneer gegevens niet meer nodig zijn voor de verwerkingsdoeleinden.

• Vergetelheid; dit betekent dat de verwerkingsver-antwoordelijke de persoonsgegevens (op verzoek) verwijdert.

• Overdraagbaarheid van gegevens; dat wil zeg-gen dat de verwerkingsverantwoordelijke deze op verzoek kan overdragen aan of delen met een andere partij. Sluit aan bij de invoering van de PDS2-regelgeving, waarbij bedrijven zonder bank-vergunning toegang krijgen tot betaalgegevens van rekeninghouders.

• Bezwaar tegen gebruik van zijn persoonsgege-vens, wanneer deze worden gebruikt voor alleen geautomatiseerde verwerking (profilering) waar-aan voor hem rechtsgevolgen zijn verbonden. Denk aan personeelsselectie, het bepalen van iemands kredietwaardigheid of voor het gebruik van direct marketing.

• Kennisgeving aan een ontvanger als betrokkene vraagt om rectificatie, beperking of vergetelheid.

De AVG stelt de nodige eisen aan het verzamelen, opslaan en gebruiken van persoonsgegevens, bij-voorbeeld met betrekking tot:

• Het identificeren en beveiligen van de persoons-gegevens in uw systemen.

• Het voldoen aan de nieuwe transparantievereisten.

• Het waarnemen en melden van gegevensinbreuken.

• Het trainen van privacymedewerkers en andere werknemers.

Gegevensverwerking documenterenDoor uw gegevensverwerking te documenteren kunt u aantonen dat u voldoet aan de AVG. U be-schrijft welke persoonsgegevens u verwerkt en voor welk doel, waar deze informatie vandaan komt, waar deze is opgeslagen en met wie u deze deelt. Organisaties met meer dan 250 medewerkers zijn verplicht een register van verwerkingen bij te hou-den. Een register van verwerkingen is niet verplicht voor organisaties met minder dan 250 medewer-kers, tenzij het waarschijnlijk is dat:

• de verwerking een risico inhoudt voor de rechten van betrokkenen;

• de verwerking niet incidenteel is;

• de verwerking bijzondere persoonsgegevens betreft (bijvoorbeeld grootschalige verwerking van salarissen waarbij ook bijzondere persoonsgege-vens worden gebruikt, zoals loonbeslag).

Financieel Intermediairs en de AVG

5 Unit4 | Financieel Intermediairs en de AVG

Het register geeft inzicht in de verwerkingen waar-voor een verwerkingsverantwoordelijke of verwer-ker verantwoordelijk is en biedt de mogelijkheid om de naleving van de AVG aan te tonen. Vooral om deze reden is het voor accountantskantoren en financieel intermediairs verstandig een register van verwerkingsactiviteiten bij te houden.

Dit document is bestemd als model voor een verwerkingsregister conform artikel 30 uit de

Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).

Bron: Autoriteit Persoonsgegevens

DOWNLOAD HIER HET MODEL

6 Unit4 | Financieel Intermediairs en de AVG

Gegevensverwerking alleen nog met toestemming van betrokkenenUw gegevensverwerking kan nu al gebaseerd zijn op de toestemming van de betrokkenen. De AVG stelt echter strengere eisen aan de toestemming voor de verwerking van persoonsgegevens dan tot nu toe het geval was. Evalueer en registreer daarom de manier waarop u toestemming vraagt. U moet kunnen aantonen dat de betrokkenen u toestem-ming hebben gegeven om hun persoonsgegevens te verwerken. En voor de betrokkenen moet het even gemakkelijk zijn om hun toestemming in te trekken als om deze te geven.

Binnen de AVG is het verzamelen en verwerken van persoonsgegevens slechts onder een van de volgende omstandigheden legitiem:

• als de betreffende persoon (de ‘betrokkene’), na voldoende te zijn geïnformeerd, ondubbelzinnig toestemming heeft gegeven; of

• als de gegevensverwerking nodig is voor bijvoor-beeld een contract, voor facturering of een aan-vraag voor een lening; of

• als verwerking vereist is op grond van een wette-lijke verplichting, of

• als verwerking noodzakelijk is om het vitale be-lang van de betrokkene te beschermen, bijvoor-beeld de verwerking van medische gegevens van een slachtoffer van een auto-ongeval; of

• als verwerking noodzakelijk is voor het vervullen van taken van algemeen belang of die door de overheid, de belastingdienst, de politie of andere overheidsorganen worden uitgevoerd; of

• Indien de gegevensverantwoordelijke of een der-de daartoe een legitiem belang heeft, mits dit be-lang de belangen van de betrokkene niet schaadt of inbreuk maakt op zijn grondrechten, met name het recht op privacy. Deze bepaling schrijft voor dat er een redelijk evenwicht moet bestaan tussen de zakelijke belangen van de gegevensverant-woordelijke en de privacy van de betrokkene.

De AVG verbiedt de verwerking van persoonsgege-vens waaruit de raciale of etnische afkomst, de po-litieke opvattingen, de godsdienstige of levensbe-schouwelijke overtuiging, het lidmaatschap van een vakbond en de verwerking van gegevens over de gezondheid of het seksleven, tenzij aan een van de uitzonderingscriteria is voldaan. Gezien het feit dat accountantskantoren ook veelvuldig persoonsgege-vens verwerken, is het raadzaam om u te verdiepen in de uitzonderingscriteria.

Privacy by design en Privacy by defaultOrganisaties moeten bij het ontwerpen van produc-ten en diensten ervoor zorgen dat persoonsgege-vens goed worden beschermd (Privacy by design) en maatregelen treffen om ervoor te zorgen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt (Privacy by default). De verwerkings-verantwoordelijke moet de naleving van de AVG aan kunnen tonen. Ook voor de financieel interme-diair is deze bepaling heel belangrijk omdat klanten wettelijk verplicht zijn om schriftelijke garanties van het kantoor te vragen.

Privacy Impact Assessment (PIA)Financieel Intermediairs die een bijzondere verwer-king uitvoeren of een verwerking waarbij nieuwe technologieën worden gebruikt, dienen hiervoor een Privacy Impact Assessment (PIA) uit te voeren. Denk hierbij aan vormen van data analyse. Een PIA verschaft inzicht in de risico’s met betrekking tot de bescherming van persoonsgegevens.

In de praktijk worden dergelijke bewerkingen vaak door specialisten uitgevoerd. Meestal in hun eigen omgeving, die ook buiten de EU kan liggen. In dat geval moet het kantoor zorgdragen dat sprake is van passende beveiliging en dat de privacy-rechten van betrokkene worden gewaarborgd.

7 Unit4 | Financieel Intermediairs en de AVG

De wijze waarop uw kantoor invulling geeft aan de aangescherpte wettelijke verplichtingen is onder meer afhankelijk van de omvang, de organisatie en de aard van de dienstverlening. Bent u een zelf-standige zonder personeel (ZZP’er), een eenmans-praktijk (adviseur plus een aantal medewerkers), of een meermanspraktijk (meerdere adviseurs plus medewerkers). Als ZZP’er heeft u geen medewer-kers waarmee moet worden overlegd, afspraken gemaakt of gedrag gemonitord. In de meeste geval-len zult u als ZZP’er of als eenmanspraktijk vaak gebruikmaken van de diensten van derde partijen bij de invulling of ondersteuning van uw dienstver-lening (bijvoorbeeld van serviceproviders voor de invulling van IT-ondersteuning). Grotere kantoren geven vaak zelf invulling aan hun processen en de toepassing van IT. In algemene zin kan worden ge-steld, dat hoe meer een kantoor zelf invulling geeft aan IT en beveiliging, hoe meer wordt gevraagd van de organisatie zelf.

Het gebruikmaken van diensten van (gespecialiseer-de) derde partijen kan de belasting voor het kantoor verlichten. Dit betekent echter wel dat afspraken moeten worden vastgelegd in overeenkomsten en dat de naleving moet worden gemonitord. In organi-saties met medewerkers zullen aanpassingen in de informatiebeveiliging en het doorvoeren van maatre-gelen in het kader van de AVG om een meer pro-jectmatige aanpak vragen. Het is uiteindelijk aan de verantwoordelijke(n) binnen de organisatie, welke keuzes worden gemaakt.

Passende maatregelenUw kantoor moet volgens de AVG passende tech-nische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen onge-oorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. We raden u aan om u voor te bereiden op de in-werkingtreding van de AVG en dit niet te lang uit te stellen. De Autoriteit Persoonsgegevens benoemd de volgende stappen ter voorbereiding:

Bewustwording

Rechten van betrokkenen

Overzicht van verwerkingen

Data Protection Impact Assessment

Privacy by Design – Privacy by Default

Functionaris voor de Gegevensbescherming (FG)

Meldplicht datalekken

Verwerkersovereenkomsten

Leidende Toezichthouder

Toestemming

Bovenstaande stappen zijn de stappen zoals opgenomen op de website van de Autoriteit Persoonsgegevens. Deze kunt u hier nalezen.

Bereid uw kantoor voor op de nieuwe regelgeving

8 Unit4 | Financieel Intermediairs en de AVG

Bewustwording, inzicht, overzicht

AVG-compliancy begint met het besef van eigen

verantwoordelijkheid van uw organisatie. Uw medewerkers dienen op de hoogte te zijn van de nieuwe privacyregels

en kunnen inschatten wat de impact van de AVG is op uw huidige processen

en diensten en welke aanpassingen nodig zijn om

aan de AVG te voldoen.

Invulling geven aan de AVG-bepalingen

Als tweede stap gaat u invulling geven aan de AVG-bepalingen:

passende technische en organisatorische maatregelen

voor een adequate beveiliging en procedures om te kunnen voldoen aan

de voorschriften, bijvoorbeeld de meldingsplicht van een

datalek.

Verkrijgen van inzicht in risico’s

Om passende beveiligingsmaatregelen te kunnen nemen, is het van belang inzicht te hebben in de grootste risico’s die

het kantoor loopt. Een inventarisatie van deze

risico’s kan men doen door middel van een uitgebreide risicoanalyse of een snellere

QuickScan.

Het invullen van de beveiligingsmaatregelen

In te voeren beveiligingsmaatregelen hebben betrekking op de organisatie, de gegevens,

het dienstenpakket/klantenportefeuille; de applicaties/applicatie-

architectuur; de technische infrastructuur; derde partijen (sub)verwerkers; de toegang en de uitwisseling van data en het gebruik van mobiele

apparatuur.

Evaluatie, monitoring en bijstelling

In deze afsluitende stap worden procedures ingevoerd om het

functioneren van de ingevoerde maatregelen te kunnen evalueren, te

monitoren en desgewenst bij te kunnen stellen.

AVG checklist voor uw kantoor

CHECK 1 CHECK 2 CHECK 3 CHECK 4 CHECK 5

9 Unit4 | Financieel Intermediairs en de AVG

CHECK 1

Bewustwording, inzicht, overzicht, verantwoordelijkheid

AVG-compliancy begint met het besef van eigen verantwoordelijkheid van uw organisatie. Zorg dat de relevante medewerkers op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen.

Beveiligings- en privacy-beleid Formuleer als leiding van de organisatie een beveili-gings- en privacybeleid waarin u aangeeft aan welke eisen de organisatie moet voldoen en op welke wijze de organisatie daar invulling aan geeft. Geef ook aan wat van de medewerkers wordt verwacht.

Belangrijke uitgangspunten bij het formuleren van een beveiligings- en privacy beleid zijn:- Behoud de regie; dit betekent dat uw organisatie

het initiatief neemt om afspraken te maken met partijen over hoe men omgaat met gegevens.

- Zorg voor enige flexibiliteit; werk met gestandaardi-seerde klantoplossingen met behoud van keuzevrij-heden binnen aangegeven grenzen.

- Hanteer het ‘Need to know’-principe; wees selectief bij het verlenen van bevoegdheden en toegang tot gegevens en processen;

- Bewaar alleen gegevens die wettelijk nodig zijn; - Focus op gedrag; stimuleer en beloon actief, be-

wust, verantwoordelijk en alert gedrag.

OrganisatieDe activiteiten ten aanzien van de informatiebeveili-ging en privacybescherming vragen doorgaans om een projectmatige aanpak, waarbij meerdere par-tijen betrokken zijn: IT en HR-specialisten, Juridische zaken, compliance officers, derden waarmee u zaken doet en natuurlijk uw klanten. Belangrijke voorwaarde is dat het projectteam over de benodigde middelen (financieel en personeel) beschikt om de noodzake-lijke activiteiten uit te kunnen voeren.

Hoe is de AVG van toepassing op uw kantoor

• Breng de verwerkingen van persoonsgegevens in kaart

De eerste en belangrijkste vraag die een financieel intermediair in het kader van de AVG moet beant-woorden is of er in zijn organisatie sprake is van verwerking van persoonsgegevens. Is dit het geval dan moet de financieel intermediair voor deze verwerking(en) rekening houden met de bepalin-gen van de AVG. Om deze vraag te kunnen beant-woorden, is inzicht nodig in de verwerkingen en de daarbij behorende persoonsgegevens, die onder verantwoordelijkheid van de financieel intermediair, al dan niet in opdracht van andere partijen (klanten)

plaatsvinden. Ook moet de financieel intermediair nagaan of er een rechtmatige grondslag is voor de verwerking.

• Bepaal of u verwerkingsverantwoordelijke of verwerker bent

Een vraag die het kantoor moet beantwoorden is of hij verwerkingsverantwoordelijke of verwerker is. De rol en context van zijn werkzaamheden bepalen welke maatregelen moeten worden genomen voor bepaalde verwerking(en) van persoonsgegevens. De AVG kent een aantal bepalingen die betrekking hebben op het zijn van verwerkingsverantwoorde-lijke of verwerker. Zo is een financieel intermediair volgens de AVG verwerkingsverantwoordelijke als hij het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en is hij een (sub)verwerker als hij ten behoeve van een verwerkings-verantwoordelijke of verwerker persoonsgegevens verwerkt. Ook bepaalt de AVG dat wanneer sprake is van uitbesteding van verwerking van persoons-gegevens, dit moet worden geregeld in een over-eenkomst. Hierin staan onder meer het onderwerp, de duur en aard en doel van de verwerking en de rechten en verplichtingen.

10 Unit4 | Financieel Intermediairs en de AVG

Onderstaand overzicht bevat de taken en verplichtingen van verwerkingsverantwoordelijken (Vv) en verwer-kers (V), voortvloeiend uit de AVG.

TAKEN EN VERPLICHTINGEN VAN VERWERKINGSVERANTWOORDELIJKEN EN VERWERKERS Vv V

Bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.

Verwerkt persoonsgegevens in opdracht/ten behoeve van een verwerkingsverantwoordelijke.

Zorgt voor passende technische en organisatorische maatregelen opdat de verwerking aan de eisen van de wet voldoet en moet dit kunnen aantonen.

Voert in voorkomende gevallen een PIA uit.

Verwerkt gegevens van betrokkene op basis van een rechtmatige grondslag.

Vult de rechten van betrokkene(n) in.

Is verantwoordelijk/aansprakelijk voor de gegevensverwerking die door of namens hem wordt uitgevoerd.

Maakt uitsluitend gebruik van de diensten van (sub)verwerkers, die afdoende garanties kunnen geven met betrekking tot een passende beveiliging.

Voert in opdracht van een verwerkingsverantwoordelijke alleen verwerkingen uit die zijn gebaseerd op een overeenkomst.

Houdt een register van verwerkingsactiviteiten bij.

Beschikt over een FG.

Meldt een datalek bij de AP.

Meldt een datalek bij de verwerkingsverantwoordelijke.

Informeert in voorkomende gevallen de betrokkene(n) over een datalek.

Houdt een register van inbreuken/datalekken bij.

Moet alle schade vergoeden die een betrokkene kan lijden ten gevolge van een verwerking die inbreuk heeft gemaakt op zijn rechten.

Bron: Nederlande Beroepsorganisatie voor Accountants

U heeft dus inzicht nodig in welke partijen betrok-ken zijn bij de dienstverlening aan uw klant. Geza-menlijk bent u verantwoordelijk voor het bescher-men van de privacy en aansprakelijk voor mogelijke schade. Alle partijen in de keten moeten elkaar bevestigen dat zij voldoen aan de wet.

• Aanstellen van Functionaris voor Gegevens­bescherming (FG)

Alleen voor overheidsorganisaties of organisaties die bijzondere persoonsgegevens verwerken geldt de verplichting een Functionaris voor Gegevens-bescherming aan te stellen. Ook al is een FG niet verplicht, dan kan het soms toch zinvol zijn er een aan te stellen. Niet alleen om aan te tonen dat het kantoor beschikt over de nodige expertise op het terrein van de privacywet en -bescherming, maar ook in het geval er een klacht tegen uw kantoor wordt ingediend bij de AP en u moet aantonen dat u beschikt over de benodigde deskundigheid en voldoet aan de eisen van de AVG. Daarnaast kan een FG u adviseren hoe u het beste om kunt gaan met verwerkingen, een PIA of een inbreuk of datalek.

11 Unit4 | Financieel Intermediairs en de AVG

CHECK 2

Invulling geven aan de AVG-bepalingen

• Een toereikende beveiliging (passende technische en organisatorische maatregelen) en de effectieve werking daarvan kunnen aantonen. Zie verder checks 3 en 4.

• Schriftelijke afspraken met klanten en (sub)verwerkers over de beveiliging en verwerking van persoonsge-gevens en kunnen aantonen dat deze worden nagekomen.

• Procedures om als verwerkingsverantwoordelijke invulling te kunnen geven aan de rechten van betrokkene(n) en om in voorkomende gevallen een datalek te kunnen melden aan de toezichthouder of betrokkene(n).

• Procedures om als verwerker invulling te kunnen geven aan de meldingsplicht van een datalek aan de verwerkingsverantwoordelijke.

• Processen en beveiliging waarbij rekening is gehouden met de principes van: Privacy by Design en by Default.

• Procedures om als verwerkingsverantwoordelijke of verwerker een Privacy Impact Assessment (PIA) uit te kunnen voeren bij nieuwe verwerkingen, bijvoorbeeld bij het gebruik van data-analyse.

• Het inrichten en bijhouden van een register van verwerkingsactiviteiten (verplicht voor organisaties met meer dan 250 medewerkers).

• Een gedragscode waarin is vastgelegd hoe om te gaan met gegevens binnen de eigen organisatie en in relatie met de klanten.

• Het op vrijwillige basis inrichten en bijhouden van een register van verwerkingsactiviteiten.

12 Unit4 | Financieel Intermediairs en de AVG

CHECK 3

Verkrijg inzicht in de risico’s

Aanleidingen die het verlies of misbruik van gege-vens tot gevolg hebben, komen vaker voor dan u denkt. Bijvoorbeeld het verzenden van gegevens naar het verkeerde (e-mail)adres, het verlies van een gegevensdrager (tablet, USB-stick, laptop of zelfs een telefoon), of het ingaan op pishing mails waarbij onbedoeld persoonlijke gegevens worden achterge-laten met alle gevolgen van dien.

Risicoanalyse en Quick Scan Om passende beveiligingsmaatregelen te kunnen nemen is het van belang inzicht te hebben in de grootste risico’s die het kantoor loopt. Dit kan door het uitvoeren van risicoanalyse. Omdat een risicoana-lyse veel tijd in beslag kan nemen, kan het kantoor ervoor kiezen om een Quick Scan uit te voeren. Dit om een eerste indruk te krijgen welke gebieden als eerste aandacht vergen en waar maatregelen direct effectief kunnen zijn.

AANDACHTGEBIEDEN SCORES (RANGE) VAN MATE VAN RISICO UW SCORE

Dienstenpakket Beperkt Uitgebreid

Verwerking van persoonsgegevens Weinig Veel

Applicaties (aantal) Klein Groot

Omvang organisatie Klein Groot

Omvang klantenportefeuille Klein Groot

Applicaties (maatwerk versus standaard) Standaard Maatwerk

Applicatie-architectuur (o.a. aantal) Eenvoudig Complex

Technische infrastructuur (gestandaardiseerd) Wel Niet

Uitbesteed versus inhouse Uitbesteed Inhouse

Mobiele apparatuur Nee Ja

Contractspartijen IT Weinig Veel

Contractspartijen overige Weinig Veel

Toegang tot data / processen Beperkt Ruim

Meerdere communicatiekanalen met klanten Nee Ja

Gebruik van een portaal Ja Nee

Gemengd gebruik van applicaties Nee Ja

Baseline benadering Naast een Quick Scan kan de organisatie ook kiezen voor de baseline benadering, de naam zegt het al, als basis. Het basisbeveiligingsniveau is vaak gebaseerd op de maatregelen, zoals aangegeven in de Code voor Informatiebeveiliging, of een subset daarvan. Op een later moment wordt via het proces van risicoana-lyse nagegaan of het basisbeveiligingsniveau toerei-

kend is of dat voor bepaalde processen/systemen aanvullende maatregelen noodzakelijk zijn. In het NEMACC-rapport hebben de onderzoekers gekozen voor deze aanpak. In het daarin aangegeven stap-penplan is een set van maatregelen aangegeven die een financieel intermediair op korte termijn kan invoeren (indien nog nodig). Zie verder check 4.

Ter illustratie een afbeelding van een Quick Scan. Via een score van 1 (laag) t/m 5 (hoog) wordt per aandachtgebied het risico ingeschat op kwetsbaarheid voor inbreuken. De scan geeft een overzicht van de verschillende aandachtsgebieden.

13 Unit4 | Financieel Intermediairs en de AVG

CHECK 4

Het invullen van de beveiligingsmaatregelen

Bij deze check voert de organisatie de maatregelen in die tot doel hebben de gegevens en processen te beschermen tegen inbreuken, verlies, etc. De maatre-gelen hebben betrekking op de volgende gebieden:

• de organisatie;

• de gegevens;

• het dienstenpakket/klantenportefeuille;

• de applicaties/applicatie-architectuur;

• de technische infrastructuur;

• derde partijen (sub)verwerkers;

• de toegang en de uitwisseling van data;

• het gebruik van mobiele apparatuur.

Het gebruikmaken van derde partijen Bij het inrichten van informatiebeveiliging heeft het kantoor, naast het zelf treffen van de nodige maat-regelen, ook nog een andere optie. Veel, vooral de wat kleinere financieel intermediairs, zullen door hun beperkte omvang (schaal) en gebrek aan deskundig-heid niet of moeilijk in staat zijn om de gewenste be-veiligingsmaatregelen zelf te realiseren. Het gebruik-maken van de diensten van derde partijen kan in dat geval een oplossing bieden. Voorbeelden zijn: het gebruik van toepassingen in de cloud waardoor data op een veilige plaats wordt bewaard en het gebruik van beveiligde communicatie en mobiele apparaten. Voorwaarde is wel dat zaken worden gedaan met betrouwbare partijen (zoals ook de privacywetgeving vereist). Ook moet het kantoor in staat zijn om de inhoud en de kwaliteit van de geleverde diensten en naleving van de afspraken vast te kunnen stellen. Een andere optie is dat bepaalde vormen van dienst-verlening die een te groot beveiligingsrisico vormen en dus schadelijk kunnen zijn voor het kantoor of de reputatie worden beëindigd.

Het melden van datalekkenU dient alle gegevensinbreuken te documenteren. In geval van een gegevensinbreuk moet u deze binnen een tijdsbestek van 72 uur, goed gedocumenteerd melden aan de verantwoordelijke autoriteit die op ba-sis van de documentatie moet kunnen vaststellen of u hebt voldaan aan de rapportageplicht. Op de website van de AP is een meldingsformulier beschikbaar. Via dit webformulier kan een melding worden aangevuld of ingetrokken. De melding moet informatie bevatten over de aard en omvang van de inbreuk, de moge-lijke gevolgen en de maatregelen die zijn genomen. Als de verwerker een inbreuk constateert, dan stelt hij de verwerkingsverantwoordelijke zo snel mogelijk op de hoogte. Zowel de verwerkingsverantwoorde-lijke als de verwerker zijn verplicht alle inbreuken op persoonsgegevens, te documenteren, met inbe-grip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen maatregelen. Dus ook de inbreuken die niet zijn gemeld.

14 Unit4 | Financieel Intermediairs en de AVG

Stappenplan meldingsprocedure datalek

1. Bepalen of de AVG en daarmee de meldplicht datalekken van toepassing is.

De AVG is van toepassing als

sprake is van geheel of gedeelte-lijke geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen. De AVG is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijk persoon bij de uitoefening van een zuiver per-soonlijke of huishoudelijke activiteit.

2. Bepalen of er sprake is van een datalek of beveiligingsincident.

Er is alleen sprake van een datalek als zich daadwerkelijk een bevei-ligingsincident heeft voorgedaan, waarbij persoonsgegevens ver-loren zijn gegaan, of als onrecht-matige verwerking van de per-soonsgegevens niet kan worden uitgesloten. Registratie van inbreu-ken op de privacy is verplicht.

3. Datalek bij de Autoriteit Persoonsgegevens te melden of niet?

De organisatie die persoonsge-

gevens verwerkt, moet (systema-tische) inbreuken op de privacy signaleren. Dit betekent dus dat u maatregelen moet treffen om gegevensverwerking te kunnen monitoren en inbreuken tijdig te kunnen signaleren. Als een inbreuk heeft plaatsgevonden en er sprake is van (een aanzienlijke kans op) nadelige gevolgen voor betrok-kene, dan is een melding aan de AP noodzakelijk. In het algemeen is een melding alleen noodzakelijk als er persoonsgegevens van gevoe-lige aard zijn gelekt. Een melding is niet nodig als het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

4. Betrokkene(n) over het datalek informeren.

Wanneer de inbreuk waarschijn-lijk risicovol is voor de rechten en vrijheden van natuurlijke personen, dan informeert de verwerkings-verantwoordelijke de betrokkene direct over de inbreuk. Dit ter voorkoming van ernstige schade bij betrokkenen als gevolg van het verlies, onrechtmatig gebruik of misbruik van hun persoonsge-gevens. Wanneer de verwerker constateert dat een door hem aan de verwerkingsverantwoordelijke gemeld datalek niet wordt gemeld bij de AP of aan betrokkenen, dan moet hij de verwerkingsverant-woordelijke hierover aanspreken. Onderneemt deze geen actie en meent de verwerker dat melding toch gewenst is, moet hij zelf actie ondernemen. Dit om zijn mogelijke aansprakelijkheid te beperken.

15 Unit4 | Financieel Intermediairs en de AVG

CHECK 5

Evaluatie, monitoring en bijstelling

In deze afsluitende stap worden procedures in-gevoerd om het functioneren van de ingevoerde maatregelen te kunnen evalueren, te monitoren, en desgewenst bij te kunnen stellen. Ook worden procedures opgezet om het gedrag te monitoren, om het niet-naleven van afspraken tijdig te kunnen sig-naleren (detectie) en om een juiste afhandeling van incidenten en verstoringen te garanderen.

Geraadpleegde bronnen:

• Autoriteit Persoonsgegevens

• Kamer van Koophandel

• De accountant en de Wet bescherming persoonsgegevens

• Nederlandse Beroepsorganisatie voor Accountants

16 Unit4 | Financieel Intermediairs en de AVG

In de AVG staat (de bescherming van) privacy centraal. Voor een goed begrip van de AVG is enige kennis van de ‘AVG-terminologie’ noodzakelijk. In bijlage 1 vindt u daarom de definities van enkele kernbegrippen.

Definities:

Persoonsgegevens: alle informatie over een geïden-tificeerde of identificeerbare natuurlijke persoon (‘betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan wor-den geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienum-mer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Bijzondere persoonsgegevens: een deel van de persoonsgegevens wordt gezien als gevoelige gegevens, ook wel bijzondere persoonsgegevens genoemd. Gebruik en verwerking hiervan mag alleen onder strikte voorwaarden. Voorbeelden van bijzon-dere gegevens zijn: ras of etnische afkomst; politieke opvattingen; religieuze of levensbeschouwelijke overtuiging; lidmaatschap van een vakbond; gezond-heid; seksueel gedrag en seksuele gerichtheid.

Anonieme gegevens: gegevens zijn geen persoons-gegevens als deze zijn geanonimiseerd. Anoniem betekent dat maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele na-tuurlijke personen redelijkerwijs is uitgesloten.

Betrokkene: de natuurlijke persoon waarop de per-soonsgegevens betrekking hebben.

Verwerkersverantwoordelijke: de natuurlijke per-soon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die - alleen of met anderen - de doeleinden en middelen van de verwerking van per-soonsgegevens vaststelt. Soms worden de doelein-den en middelen voor de verwerking van persoons-gegevens echter bepaald door het recht van de Europese Unie of de specifieke lidstaat. In dat geval kan de gegevensverantwoordelijke (of kunnen de specifieke criteria voor het aanwijzen van een gege-vensverantwoordelijke) ook worden geregeld in het recht van de Europese Unie of de specifieke lidstaat.

Verwerker: de natuurlijke persoon of rechtspersoon, overheidsinstantie, instelling of andere organisatie die persoonsgegevens verwerkt namens de verwer-kingsverantwoordelijke.

Bijlage 1 - Definities uit de AVGToestemming van de betrokkene: elke vrije, speci-fieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een ver-klaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt.

Gegevensinbreuk: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoor-loofde verstrekking van of de ongeoorloofde toe-gang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Verwerking: een bewerking (of een geheel van be-werkingen) met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzen-ding, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

17 Unit4 | Financieel Intermediairs en de AVG

Over Unit4Unit4 is een toonaangevende leverancier van bedrijfssoftware voor dienstverlenende organisaties. Met ruim 4.000 medewerkers wereldwijd genereert Unit4 een jaarlijkse omzet van meer dan 500 miljoen euro. Unit4 levert ERP, branchegerichte en best-in-class applicaties. Duizenden organisaties uit sectoren als zakelijke en publieke dienstverlening, onderwijs, non-profit, vastgoed, groothandel en financiële dienstverlening werken met business software van Unit4.

unit4.nlUnit4 Business Software B.V.Papendorpseweg 100, 3528 BJ UtrechtPostbus 5005, 3502 JA UtrechtT +31 88 247 17 77 E steluwvraag@unit4.com

Copyright © Unit4 Disclaimer: Alle informatie in dit document is met grote zorgvuldigheid

samengesteld. Voor mogelijke onjuistheid en/of onvolledigheid van de hierin verstrekte

informatie kan Unit4 geen aansprakelijkheid aanvaarden, evenmin kunnen aan de inhoud van dit

document rechten worden ontleend.

In business for people.