Aandacht voor privacy en datarisico’s is niet meer iets wat je erbij doetPrivacy en datarisico’s

De nieuwe privacywetgeving: van regels naar doen

Wat moet u doen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en om binnen uw bedrijf zorgvuldig om te gaan met persoonsgegevens? In dit document geven we 5 praktische handvatten.

Sinds mei 2018 geldt de Europese privacywet. In Nederland is dit de AVG (Algemene Verordening Gegevensbescherming). Er zijn dan nieuwe regels voor de verwerking en bescherming van persoonsgegevens. Voor de AVG is meer aandacht dan voor de huidige Wbp (Wet bescherming persoonsgegevens). Dat komt doordat er steeds meer aandacht is bij klanten, leveranciers en in de media voor bescherming van de privacy. Andere redenen zijn de fors hogere boetes en structurele handhaving.

Informatie over de AVGOp de website van de Autoriteit Persoonsgegevens vindt u een duidelijke uitleg over de AVG. In dit informatiedocument leggen we de nadruk op wat een middelgrote organisatie kan doen om te voldoen aan de AVG-richtlijnen en zorgvuldigom te gaan met persoonsgegevens. U treft praktische handvatten aan waarmee u direct aan de slag kunt.

1. Adequate informatiebeveiligingPrivacy kan niet zonder goede beveiliging van gegevens. Werkt u nog niet met wachtwoorden en gebruikersprofielen voor toegang tot uw ICT-systemen? Is e-mail nog steeds de belangrijkste vorm van uitwisseling van persoonsgegevens in uw bedrijf? Dan zult u vrijwel zeker niet aan de AVG voldoen. Net als veel organisaties zult u de komende tijd wellicht in ICT moeten investeren om aan de eisen van de AVG te voldoen.

Een belangrijk deel van de persoonsgegevens wordt op-geslagen in CRM, salaris- en personeelssystemen. Gelukkig hebben de meesteleveranciers hiervan de systemen gereedgemaakt voor de AVG. Heeft u zelf een systeem laten ontwikkelen dat gebruik maakt van persoonsgegevens, dan zult u moeten nagaan of dit voldoet aan de AVG-eisen.

Betrokkenen, zoals uw klanten en uw personeel,krijgen straks het recht om gegevens te laten verwijderen, in te zien en/of te corrigeren. Ook hier moeten uw ICT-systemen in kunnen voorzien.

Tips!• Stop met het gebruiken van e-mail voor het

versturen van persoonsgegevens zoals CV’s, identiteitsbewijzen en salarisgegevens.

• Vraag de leverancier(s) van uw ICT-systemen aan te tonen dat hun software ‘AVG-proof’ is.

• Pas ‘Privacy by Design’ en ‘Privacy by Default’ toe bij de ontwikkeling van een nieuw ICT-systeem.

2. Verplichte documentenWanneer u over een verwerkingsregister, privacystatement en verwerkersovereenkomsten beschikt, heeft u een belangrijke stap gezet in het voldoen aan de eisen van de AVG.

Verplicht: Het verwerkingsregisterU mag enkel nog persoonsgegevens verwerken als daar een goede reden voor is of als betrokken personen zelf toestemming hebben gegeven. Onder verwerken valt hetverzamelen, vastleggen, ordenen en bewaren van gege-vens. U dient betrokken personen van te voren te informe-ren wanneer u hun persoonsgegevens gaat gebruiken.

Documenteer daarom welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit heet een verwerkingsregister. Een verwerkingsregister kan bijvoorbeeld in Excel up-to-date gehouden worden.

Door de AVG heeft u een verantwoordingsplicht, wat betekent dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van dit register is hier onderdeel van.

Tips!• Voor persoonsgegevens op papier geldt ook

de AVG;• Door de AVG moet u persoonsgegevens, die niet

meer strikt noodzakelijk zijn, verwijderen.• Ook bij camerabeveiliging en toegangscontroles

gaat het om persoonsgegevens die u in het register opneemt. Hiervoor gelden extra regels; raadpleeg hiervoor een specialist.

Verplicht: PrivacystatementOok een privacystatement is verplicht wanneer u persoonsgegevens verwerkt. U kunt dit statement bijvoorbeeld delen op uwwebsite. U vertelt daarmee uw klanten, leveranciers en medewerkers hoe u met persoonsgegevens omgaat, waar ze voor worden gebruikt, waar betrokkenen met vragen terecht kunnen en wat hun rechten zijn.

Tips!• Wanneer u op verschillende plekken persoons-

gegevens verzamelt, kunt u een op de situatie aangepaste verklaring gebruiken.

• Aan de telefoon kunt u ook een mondelinge verklaring gebruiken.

Verplicht: VerwerkersovereenkomstWellicht werkt u in een samenwerkingsverband. Het is binnen deze samenwerking steeds relevanter om afspraken te maken over data-uitwisseling. Wie krijgtwelke data. Wat mag een derde met uw data wel of niet doen en wie is er verantwoordelijk voor de correctheid van de data.

De AVG eist van u dat u met elke partij waarmee u persoonsgegevens uitwisselt een verwerkersovereenkomst sluit. Hiermee verklaart deze partij ook zorgvuldig om te gaan met persoonsgegevens.

Elke overeenkomst heeft een verplicht aantal onderdelen. U moet de overeenkomsten in uw bezit hebben om te kunnen aantonen dat u aan de AVG voldoet. Er zijn derden zoals bijvoorbeeld leveranciers van cloud-oplossingenof marketingbureaus die u een door hun opgestelde overeenkomst aanbieden. Als de overeenkomst voldoet aan de eisen kunt u deze accepteren.

Tip!Administreer verwerkersovereenkomsten op een centrale plek.

Klanten vragen ook zekerheidDat wat u van uw leveranciers vraagt, zullen uw klanten van u (gaan) vragen. Zij willen dezelfde zekerheid van u om te voorkomen dat zij straks hoge boetes van de Autoriteit Persoonsgegevens krijgen opgelegd omdat u niet aan de wet voldoet. U zult dus contracten en verwerkersovereenkomsten voorgelegd krijgen waarin om zekerheden gevraagd wordt. Ook voor uw klanten is adequate gegevensbeveiliging essentieel.

3. Collega medewerkersMensen maken fouten. Bewust of onbewust. Zorg daarom dat medewerkers alleen bij informatie kunnen die zij nodig hebben. Afhankelijk van de situatie kunt u extra maatregelen opnemen in arbeidscontracten om de risico’s te beperken en eventuele schade te verhalen.

Een helder geschreven privacybeleid kunt u gebruiken om medewerkers duidelijk te maken hoe uw organisatie met persoonsgegevens wil omgaan, wat er van de betrokkenen wordt verwacht en wat hun rechten en plichten zijn. Juist wanneer naar medewerkers ook ‘het waarom’ wordt gecommuniceerd, draagt dit bij aan het bewust omgaan met persoonsgegevens. Een voorbeeld hiervan is dat er binnen het bedrijf geen foto’s door medewerkers van elkaar gemaakt en/of verspreid worden die negatief voor betrokkenen zijn.

Het organiseren van activiteiten waarbij gewenst gedrag, het belang van privacy en het (bedrijfs)- belang van zorgvuldig omgaan met persoonsgegevens toegelicht wordt, blijkt in de praktijk de meest effectieve manier.

Tips!• Neem de rechten en plichten op in het

arbeidscontract. Behandel dit onderwerp tijdens de introductiedag.

• Kies voor een goed evenwicht tussen eigen verantwoordelijkheid nemen en expliciet verbieden.

4. Melding datalekkenEr is sprake van een datalek als persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Bijvoorbeeld wanneer er op uw systeem is ingebroken, er een laptop wordt gestolen of er een klantenlijst wordt achtergelaten. Kostbare informatie zoals illegaal verkregen bedrijfsgegevens over een productieproces of uw marktstrategie vallen niet onder de gangbare definitie van eendatalek. Datalekken moeten binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld en mogelijk moet u betrokkenen informeren.

Om zo snel mogelijk te kunnen beoordelen of het om een datalek gaat en deze aan te melden bij de AutoriteitPersoonsgegevens, moeten alle medewerkers weten wat een datalek is en waar zij deze moeten melden. Ook moet het meldingsproces worden ingericht.

Tip!Gebruik een procedure of helpdesk voor medewerkers om datalekken te kunnen melden.

5. Verzekeren tegen cybercrimeDoor cybercrime wordt de kans groter dat persoonsgegevens op straat komen te liggen. In tegenstelling van wat nog vaak gedacht wordt zijn calamiteiten waarbij de oorzaak een hack is door een conventionele brandverzekering niet gedekt.

Het afsluiten van een verzekering voor cybercrime-risico’s kan een goede optie zijn voor de periode waarin het nog niet duidelijk is hoe de risico’s zich zullen ontwikkelen. Het belangrijkste is dat u na het afsluiten van de verzekering direct de beschikking heeft over specialisten (ICT, juridisch, communicatie) bij een (mogelijke) hack. Deze specialisten zijn op dit moment schaars waardoor het niet eenvoudig zal zijn deze direct in te schakelen. Verzekeren kan u meer zekerheid bieden. Zo laat u concreet zien dat het bestuur verantwoordelijkheid neemt wanneer het gaat om datarisico’s en privacy.

Verzekeraars zullen wel nieuwe eisen stellen aan uw privacy-risicomanagement wanneer u zich wilt verzekeren tegen de gevolgen van cybercrime. Een mooi moment dus om met uw adviseur te bespreken hoe u zich het beste voorbereidt.

Hoe te beginnen?Met bovenstaande stappen bent u goed op weg. Uiteindelijk vraagt de AVG van u dat u kunt aantonen dat u privacy- risico’s aantoonbaar managet. Elke organisatie die persoonsgegevens verwerkt, moet straks ook achteraf kunnen aantonen welke handelingen zij heeft uitgevoerd en welke maatregelen zij heeft genomen om privacy-risico’s te beperken. De AVG geeft de Autoriteit Persoonsgegevens het recht audits uit te voeren om te controleren of er inderdaad voldoende maatregelen zijn genomen. Is dit niet het geval, dan kan een boete gegeven worden. Eerder kon u alleen een boete krijgen bij een datalek.

Voor de meeste bedrijven is dit een onderwerp dat een onevenredige inspanning vraagt. Door binnen sectoren gezamenlijk op te trekken kan de pijn worden verlicht . Ook kunt u onze adviseurs betrekken bij uw aanpak. We helpen u bij het uitvoeren van een nulmeting, informatiebijeenkomsten, het opzetten van een verwerkingsregister en andere documenten en het verzekeren.

meeus.com/cyberverzekering Aan de inhoud van dit document kunt u geen rechten ontlenen. Aon Nederland C.V. is geregistreerd bij de AFM onder nummer 12009529. Aon Nederland C.V. is statutair gevestigd in Rotterdam en bij de KvK geregistreerd onder nummer 24061634.18

0011

_I_1

806

Contact

Voor meer informatie kunt u contact opnemen met uw adviseur bij Aon.