De AVG
In deze blog wordt op de hoofdpunten van het privacy beleid ingegaan.
Voor wie geldt de wet en waarom is privacy zo belangrijk?
De nieuwe Europese privacywet, de GDPR is ingegaan op mei 2018. In Nederland heet het de wet de AVG. De wet geldt voor iedereen, maar vooral ondernemingen en overheidsinstellingen krijgen hier dagelijks mee te maken.
Kort gezegd stelt de wet dat iedere ondernemer en elke organisatie de persoonsgegevens die ze hebben gekregen van consumenten, cliënten , patiënten of werknemers optimaal moeten beschermen. De AVG noemt deze personen gegevens verstrekkers.
Hoe wordt met de gegevens omgegaan?
Bij bedrijven, moet de verstrekker vanaf mei 2018 (vrijwel) altijd toestemming hebben gegeven om met de gegevens te mogen werken. Dat die toestemming is gegeven moet het bedrijf op elk moment kunnen aantonen.
Dat wil nog niet zeggen dat iedere medewerker binnen het bedrijf deze gegevens mag inzien of ermee mag werken. Alleen die medewerkers die een rol spelen bij de dienst of procedure die voltooid moet worden zijn hiertoe bevoegd.
De AVG verplicht de onderneming een aantal overzichten (registers) bij te houden over de gegevens die worden opgeslagen.
Hoe wordt omgegaan met derden die gegevens kunnen inzien?
Als er een extern bedrijf wordt ingehuurd, dat toegang heeft tot de gegevens (bijvoorbeeld vanwege onderhoud), moet met onderneming eerst een overeenkomst worden gesloten ter bescherming van de gegevens (een zogenaamde verwerkersovereenkomst). Een gegevensverstrekker mag te allen tijde de gegevens inzien, laten wijzigen of verwijderen tenzij het bedrijf het niet mag vanwege bijvoorbeeld een wettelijke bewaar termijn. De AVG geeft aan op welke wijze hier mee moet worden omgegaan.
Hoe wordt met de ICT omgegaan?
De AVG stelt niet alleen eisen aan de wijze waarop met gegevens wordt omgegaan. Er worden ook eisen gesteld aan de ICT omgeving (de infrastructuur). Zonder een goed ICT is de bescherming van de persoonsgegevens niet voldoende. Denk aan hacken, ransomware en data lekken. De gebruikte hard- en software moeten voldoen veilig zijn. De keuze voor een gecertificeerd ICT bedrijf is een goede start.
Kost het veel tijd om aan de AVG te voldoen?
Het volgen van de AVG kost tijd en gaat verder dan de voorbeelden in deze blog. Een bedrijf geacht de AVG te kennen en wordt er ook op afgerekend. Het inrichten van het bedrijf om te voldoen aan de AVG is tijdrovend en een kostbare aangelegenheid, en veel bedrijven hebben de kennis niet of niet voldoende in huis. Voor deze ondernemingen is het helemaal een moeilijke klus. Een oplossing is het inhuren van een specialist, de Functionaris Gegevens beschermer (FG) of het aanstellen van een personeelslid (CIO) die zich richt op AVG. Dit leidt tot extra kosten, die een te hoge drempel kunnen vormen.
Hoe kan het bedrijf AVG bestendig gemaakt worden tegen aanvaarbare kosten?
Met de software van General Data Protection (GDP) kan de onderneming worden getest op de mate waarin aan de AVG wordt voldaan en wat er moet worden gedaan om aan de AVG te gaan voldoen.
De duur van de eerste test is afhankelijk van de status van het bedrijf De maximale duur van de test is c.a. één dag. De daarop volgende testen kosten telkens minder tijd omdat het bedrijf beter is afgestemd op AVG. Er zijn in totaal 11 vragen, waaronder de vragen inzake de ICT.
Per vraag wordt er na het invullen ene score getoond (in procenten) en wordt aangeven wat er moet worden gedaan. Alle verplichte registers zijn aanwezig, evenals niet verplichte ondersteunde registers.
Per vraag kan worden ingesteld, wanneer deze opnieuw wordt beantwoord. Als er verbeteringen zijn door gevoerd is dat te zien in de score. Het is een overweging om de uitkomsten met een FG te overleggen. De kosten zullen nu beduidend lager zijn en er kan direct op details worden ingegaan.
Voldoet de bedrijf aan de AVG als de vragen voldoende hoog scoren?
Ja. De AVG stelt niet de eis dat het bedrijf 100% voldoet aan de eisen. Dat kan in de praktijk ook niet. De eis is dat het bedrijf voldoende inspanning levert (een inspanningsverplichting), verbetering laat zien als het niet voldoet en dat kan aantonen.
Is het voldoen aan de AVG de enig afweging?
Nee. Bedrijven zullen de lat hoger leggen dat alleen het voldoen aan de minimum vereisten. Het risico op datalekken, claims, hacking, ransomware, reputatieschade, herstel kosten enzovoort zijn een reden om naar de maximale score te streven.