Vanaf eind mei 2018 is de Algemene Verordening Gegevensbescherming van kracht. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. Hoe bereidt uw organisatie zich hierop voor?
Informatiebeveiliging gaat over het geheel aan maatregelen waarmee organisaties hun informatie beveiligen, zowel digitaal als niet digitaal. Organisaties hebben niet alleen informatie nodig om hun bedrijfsprocessen te kunnen uitvoeren, maar ook om hun interne bedrijfsvoering bij te sturen en om strategische beslissingen te nemen. Persoonsgegevens, zoals een klantenbestand en een personeelsadministratie, vormen hier een onderdeel van.
Zie ook: AVG: Braafste jongetje of meisje zijn loont
Een definitie van informatiebeveiliging is: het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Doel hiervan is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
In de figuur zijn de verschillende typen maatregelen om beveiligingsrisico’s af te dekken en een passend beveiligingsniveau te garanderen weergegeven.
Wet bescherming persoonsgegevens
Het belang van de veiligheid van informatie groeit. Een van de oorzaken hiervan is de steeds verdergaande ontwikkeling van de kenniseconomie. Er is in Nederland dan ook een aantal wetten die een relatie hebben met informatiebeveiliging. De belangrijkste regels voor het omgaan met persoonsgegevens in Nederland zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). De Wbp heeft betrekking op het verwerken van persoonsgegevens met als doel het beschermen van die persoonsgegevens. De Wbp is de Nederlandse uitwerking van de Europese Databeschermingsrichtlijn, ook wel privacyrichtlijn of dataprotectierichtlijn (95/46/EG) genoemd, en is sinds 1 september 2001 van kracht.
Het vastleggen van persoonsgegevens is in principe geen probleem. Voor consumenten zijn er voordelen bij het delen van hun persoonsgegevens, vaak is het zelfs een verplichting. Delen van gegevens hoeft ook geen probleem te zijn zolang er verantwoord mee wordt omgegaan. Dit creëert een wankel evenwicht tussen vertrouwen en service. Dat vertrouwen kan in één keer omslaan als een organisatie wordt gehackt, gegevens lekt en ontoereikende procedures blijkt te hebben. Organisaties moeten dan ook zorgvuldig met deze gegevens omspringen. Op grond van de Wbp zijn ze verplicht om bij het verwerken van persoonsgegevens gebruik te maken van een adequate, vakkundig toegepaste beveiliging. Als het verwerken van gegevens is uitbesteed, moet de derde partij, de ‘bewerker’, in deze maatregelen voorzien.
Autoriteit Persoonsgegevens
In Nederland is de voor gegevensbescherming aangewezen nationale toezichthouder de Autoriteit Persoonsgegevens (AP). Dit was voor 1 januari 2016 het College Bescherming Persoonsgegevens (CBP). (Artikel 51 van de Wbp bepaalt overigens dat de naamswijziging alleen ‘in het maatschappelijk verkeer’ geldt. Dat artikel geeft nog steeds ‘College Bescherming Persoonsgegevens’ als formele naam aan.) De AP heeft de wettelijke taak om toe te zien op het naleven van de Wbp. Daarnaast heeft de AP een aantal bestuursrechtelijke mogelijkheden om te handhaven op het bepaalde in de Wbp. Organisaties die gegevens verwerken, moeten dit bij de AP aanmelden, tenzij een onafhankelijke functionaris hier toezicht op houdt.
Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding bij de AP moeten doen zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen. Als een datalek niet wordt gemeld, kan dat leiden tot sancties, zoals een boete, maar ook tot reputatieschade.
Algemene Verordening Gegevensbescherming
Het Europese Parlement vond dit ongewenst en heeft de verantwoordelijkheden van organisaties voor gegevensbescherming in wetgeving vastgelegd. In april 2016 heeft het Europese Parlement met de nieuwe EU-verordening Algemene Verordening Gegevensbescherming (AVG), in het Engels de General Data Protection Regulation (GDPR), ingestemd. Vanaf 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wbp geldt dan niet meer. Er zit dus een periode van twee jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Zo kunnen organisaties en toezichthouders zich goed voorbereiden op de AVG.
In het kader is een stappenplan opgenomen waarmee organisaties aan de slag kunnen. De uitgangspunten voor het verwerken van persoonsgegevens zijn onder de AVG nagenoeg gelijk aan die van de Wbp. Het moet voor ieder natuurlijk persoon duidelijk zijn waarom en waarvoor zijn persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt. De rechten van de betrokkene worden onder de AVG wel zwaarder aangezet.
Het recht om gegevens te (laten) verwijderen (het recht op vergetelheid) is nu expliciet opgenomen en het recht om gegevens mee te nemen (het recht op dataportabiliteit) is nieuw. Daarnaast is het recht om zich te verzetten tegen het gebruik van de persoonsgegevens voor geautomatiseerde individuele besluitvorming (profilering) aangescherpt. Dit laatste is vooral vanwege de opkomst en mogelijkheden van big data een belangrijk uitgangspunt.
Onderzoek
Uit het eind mei 2017 door PWC gehouden periodieke Privacy Governance-onderzoek is gebleken, dat van de 327 responderende organisaties een jaar voor de invoering van de verordening nog slechts twaalf procent helemaal is voorbereid op de nieuwe regels. Meer dan de helft van de organisaties is nog niet begonnen met de noodzakelijke voorbereidingen. Veel organisaties hebben dan ook nog veel te doen om compliant te zijn aan de nieuwe privacywetgeving.
STAPPENPLAN AVG
1. Creëer bewustwording
Informatiebeveiliging wordt vaak nog steeds als ICT-verantwoordelijkheid beschouwd, maar kan alleen effectief zijn als het onderdeel uitmaakt van de bedrijfscultuur. Het belang van informatiebeveiliging moet dan ook goed verankerd zijn bij het topmanagement en moet deels worden gebaseerd op het draagvlak bij de gebruikers.
2. Lokaliseer informatie
Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Zo moeten zij kunnen aantonen dat zij zich aan de wet houden (accountability) en daarom hebben ze een documentatieplicht; dat wil zeggen dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
3. Evalueer privacyverklaringen en -beleid
De verantwoordelijkheid voor informatiebeveiliging kan tot uitdrukking worden gebracht door een op leidinggevend niveau goedgekeurd en aan alle medewerkers en relevante externe partijen kenbaar gemaakt beleidsdocument, dat expliciet ingaat op de maatregelen die de verantwoordelijke treft om de verwerkte persoonsgegevens te beveiligen.
4. Ken de rechten van betrokkenen
Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering, maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit waardoor betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
5. Wees voorbereid op inzageverzoeken
Door de AVG is de reactietermijn bij verzoeken tot inzage in persoonsgegevens ingekort van 40 dagen naar een maand. Complexe verzoeken kunnen wel drie maanden in beslag nemen. Actualiseer procedures om verzoeken binnen kortere termijnen te kunnen afhandelen.
6. Zorg voor een wettelijke grondslag voor persoonsgegevensverwerking
Weet waarom persoonsgegevens worden verzameld en gebruikt en zorg dat de organisatie over de juiste wettelijke grondslag beschikt om de gegevens te mogen verwerken.
7. Evalueer de toestemming
Evalueer hoe toestemming wordt gevraagd, verkregen en geregistreerd. De instemming moet vrijwillig, specifiek, doordacht en een
