Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Transcriptie

1 Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet Privacy en datarisico s

2 De nieuwe privacywetgeving: van regels naar doen Wat moet u doen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en om binnen uw bedrijf zorgvuldig om te gaan met persoonsgegevens? In dit document geven we 5 praktische handvatten. Sinds mei 2018 geldt de Europese privacywet. In Nederland is dit de AVG (Algemene Verordening Gegevensbescherming). Er zijn dan nieuwe regels voor de verwerking en bescherming van persoonsgegevens. Voor de AVG is meer aandacht dan voor de huidige Wbp (Wet bescherming persoonsgegevens). Dat komt doordat er steeds meer aandacht is bij klanten, leveranciers en in de media voor bescherming van de privacy. Andere redenen zijn de fors hogere boetes en structurele handhaving. Informatie over de AVG Op de website van de Autoriteit Persoonsgegevens vindt u een duidelijke uitleg over de AVG. In dit informatiedocument leggen we de nadruk op wat een middelgrote organisatie kan doen om te voldoen aan de AVG-richtlijnen en zorgvuldigom te gaan met persoonsgegevens. U treft praktische handvatten aan waarmee u direct aan de slag kunt. 1. Adequate informatiebeveiliging Privacy kan niet zonder goede beveiliging van gegevens. Werkt u nog niet met wachtwoorden en gebruikersprofielen voor toegang tot uw ICT-systemen? Is nog steeds de belangrijkste vorm van uitwisseling van persoonsgegevens in uw bedrijf? Dan zult u vrijwel zeker niet aan de AVG voldoen. Net als veel organisaties zult u de komende tijd wellicht in ICT moeten investeren om aan de eisen van de AVG te voldoen. Een belangrijk deel van de persoonsgegevens wordt opgeslagen in CRM, salaris- en personeelssystemen. Gelukkig hebben de meesteleveranciers hiervan de systemen gereedgemaakt voor de AVG. Heeft u zelf een systeem laten ontwikkelen dat gebruik maakt van persoonsgegevens, dan zult u moeten nagaan of dit voldoet aan de AVG-eisen. Stop met het gebruiken van voor het versturen van persoonsgegevens zoals CV s, identiteitsbewijzen en salarisgegevens. Vraag de leverancier(s) van uw ICT-systemen aan te tonen dat hun software AVG-proof is. Pas Privacy by Design en Privacy by Default toe bij de ontwikkeling van een nieuw ICT-systeem. 2. Verplichte documenten Wanneer u over een verwerkingsregister, privacystatement en verwerkersovereenkomsten beschikt, heeft u een belangrijke stap gezet in het voldoen aan de eisen van de AVG. Verplicht: Het verwerkingsregister U mag enkel nog persoonsgegevens verwerken als daar een goede reden voor is of als betrokken personen zelf toestemming hebben gegeven. Onder verwerken valt het verzamelen, vastleggen, ordenen en bewaren van gegevens. U dient betrokken personen van te voren te informeren wanneer u hun persoonsgegevens gaat gebruiken. Documenteer daarom welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit heet een verwerkingsregister. Een verwerkingsregister kan bijvoorbeeld in Excel up-to-date gehouden worden. Door de AVG heeft u een verantwoordingsplicht, wat betekent dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van dit register is hier onderdeel van. Betrokkenen, zoals uw klanten en uw personeel,krijgen straks het recht om gegevens te laten verwijderen, in te zien en/of te corrigeren. Ook hier moeten uw ICTsystemen in kunnen voorzien.

3 Voor persoonsgegevens op papier geldt ook de AVG; Door de AVG moet u persoonsgegevens, die niet meer strikt noodzakelijk zijn, verwijderen. Ook bij camerabeveiliging en toegangscontroles gaat het om persoonsgegevens die u in het register opneemt. Hiervoor gelden extra regels; raadpleeg hiervoor een specialist. Verplicht: Privacystatement Ook een privacystatement is verplicht wanneer u persoonsgegevens verwerkt. U kunt dit statement bijvoorbeeld delen op uwwebsite. U vertelt daarmee uw klanten, leveranciers en medewerkers hoe u met persoonsgegevens omgaat, waar ze voor worden gebruikt, waar betrokkenen met vragen terecht kunnen en wat hun rechten zijn. Wanneer u op verschillende plekken persoonsgegevens verzamelt, kunt u een op de situatie aangepaste verklaring gebruiken. Aan de telefoon kunt u ook een mondelinge verklaring gebruiken. Verplicht: Verwerkersovereenkomst Wellicht werkt u in een samenwerkingsverband. Het is binnen deze samenwerking steeds relevanter om afspraken te maken over data-uitwisseling. Wie krijgt welke data. Wat mag een derde met uw data wel of niet doen en wie is er verantwoordelijk voor de correctheid van de data. De AVG eist van u dat u met elke partij waarmee u persoonsgegevens uitwisselt een verwerkersovereenkomst sluit. Hiermee verklaart deze partij ook zorgvuldig om te gaan met persoonsgegevens. Elke overeenkomst heeft een verplicht aantal onderdelen. U moet de overeenkomsten in uw bezit hebben om te kunnen aantonen dat u aan de AVG voldoet. Er zijn derden zoals bijvoorbeeld leveranciers van cloud-oplossingen of marketingbureaus die u een door hun opgestelde overeenkomst aanbieden. Als de overeenkomst voldoet aan de eisen kunt u deze accepteren. Tip! Administreer verwerkersovereenkomsten op een centrale plek. Klanten vragen ook zekerheid Dat wat u van uw leveranciers vraagt, zullen uw klanten van u (gaan) vragen. Zij willen dezelfde zekerheid van u om te voorkomen dat zij straks hoge boetes van de Autoriteit Persoonsgegevens krijgen opgelegd omdat u niet aan de wet voldoet. U zult dus contracten en verwerkersovereenkomsten voorgelegd krijgen waarin om zekerheden gevraagd wordt. Ook voor uw klanten is adequate gegevensbeveiliging essentieel. 3. Collega medewerkers Mensen maken fouten. Bewust of onbewust. Zorg daarom dat medewerkers alleen bij informatie kunnen die zij nodig hebben. Afhankelijk van de situatie kunt u extra maatregelen opnemen in arbeidscontracten om de risico s te beperken en eventuele schade te verhalen. Een helder geschreven privacybeleid kunt u gebruiken om medewerkers duidelijk te maken hoe uw organisatie met persoonsgegevens wil omgaan, wat er van de betrokkenen wordt verwacht en wat hun rechten en plichten zijn. Juist wanneer naar medewerkers ook het waarom wordt gecommuniceerd, draagt dit bij aan het bewust omgaan met persoonsgegevens. Een voorbeeld hiervan is dat er binnen het bedrijf geen foto s door medewerkers van elkaar gemaakt en/of verspreid worden die negatief voor betrokkenen zijn. Het organiseren van activiteiten waarbij gewenst gedrag, het belang van privacy en het (bedrijfs)- belang van zorgvuldig omgaan met persoonsgegevens toegelicht wordt, blijkt in de praktijk de meest effectieve manier. Neem de rechten en plichten op in het arbeidscontract. Behandel dit onderwerp tijdens de introductiedag. Kies voor een goed evenwicht tussen eigen verantwoordelijkheid nemen en expliciet verbieden.

4 4. Melding datalekken Er is sprake van een datalek als persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Bijvoorbeeld wanneer er op uw systeem is ingebroken, er een laptop wordt gestolen of er een klantenlijst wordt achtergelaten. Kostbare informatie zoals illegaal verkregen bedrijfsgegevens over een productieproces of uw marktstrategie vallen niet onder de gangbare definitie van eendatalek. Datalekken moeten binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld en mogelijk moet u betrokkenen informeren. Om zo snel mogelijk te kunnen beoordelen of het om een datalek gaat en deze aan te melden bij de Autoriteit Persoonsgegevens, moeten alle medewerkers weten wat een datalek is en waar zij deze moeten melden. Ook moet het meldingsproces worden ingericht. Tip! Gebruik een procedure of helpdesk voor medewerkers om datalekken te kunnen melden. 5. Verzekeren tegen cybercrime Door cybercrime wordt de kans groter dat persoonsgegevens op straat komen te liggen. In tegenstelling van wat nog vaak gedacht wordt zijn calamiteiten waarbij de oorzaak een hack is door een conventionele brandverzekering niet gedekt. Het afsluiten van een verzekering voor cybercrime-risico s kan een goede optie zijn voor de periode waarin het nog niet duidelijk is hoe de risico s zich zullen ontwikkelen. Het belangrijkste is dat u na het afsluiten van de verzekering direct de beschikking heeft over specialisten (ICT, juridisch, communicatie) bij een (mogelijke) hack. Deze specialisten zijn op dit moment schaars waardoor het niet eenvoudig zal zijn deze direct in te schakelen. Verzekeren kan u meer zekerheid bieden. Zo laat u concreet zien dat het bestuur verantwoordelijkheid neemt wanneer het gaat om datarisico s en privacy. Verzekeraars zullen wel nieuwe eisen stellen aan uw privacyrisicomanagement wanneer u zich wilt verzekeren tegen de gevolgen van cybercrime. Een mooi moment dus om met uw adviseur te bespreken hoe u zich het beste voorbereidt. Hoe te beginnen? Met bovenstaande stappen bent u goed op weg. Uiteindelijk vraagt de AVG van u dat u kunt aantonen dat u privacy- risico s aantoonbaar managet. Elke organisatie die persoonsgegevens verwerkt, moet straks ook achteraf kunnen aantonen welke handelingen zij heeft uitgevoerd en welke maatregelen zij heeft genomen om privacy-risico s te beperken. De AVG geeft de Autoriteit Persoonsgegevens het recht audits uit te voeren om te controleren of er inderdaad voldoende maatregelen zijn genomen. Is dit niet het geval, dan kan een boete gegeven worden. Eerder kon u alleen een boete krijgen bij een datalek. Voor de meeste bedrijven is dit een onderwerp dat een onevenredige inspanning vraagt. Door binnen sectoren gezamenlijk op te trekken kan de pijn worden verlicht. Ook kunt u onze adviseurs betrekken bij uw aanpak. We helpen u bij het uitvoeren van een nulmeting, informatiebijeenkomsten, het opzetten van een verwerkingsregister en andere documenten en het verzekeren.

5 Contact Voor meer informatie kunt u contact opnemen met uw adviseur bij Aon _I_1806 meeus.com/cyberverzekering Aan de inhoud van dit document kunt u geen rechten ontlenen. Aon Nederland C.V. is geregistreerd bij de AFM onder nummer Aon Nederland C.V. is statutair gevestigd in Rotterdam en bij de KvK geregistreerd onder nummer