Zet de stap naar certificering!

Transcriptie

1 ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Zet de stap naar certificering!

2 2 - Kader, bureau voor kwaliteitszorg b.v.

3 Inleiding Vanaf 25 mei 2018 is de Europese AVG wetgeving van kracht. Zorg dat u tijdig noodzakelijke acties in gang zet om te voldoen aan deze verplichting en ter voorkoming van een boete. In deze brochure treft u informatie aan over onder de AVG wetgeving, de verplichtingen, de mogelijkheden en de Kader aanpak. Ook is een praktische AVG checklist opgenomen. Heeft u na het lezen van de informatie nog vragen of wilt u een offerte aanvragen? Neem dan gerust contact met ons op. CONTACT Aanvullende informatie? Neem contact met ons op. Telefoonnummer info@kader.nl Website In deze brochure vindt u: Algemene Verordening Gegevensbescherming (AVG)... pagina 4 De Kader aanpak... pagina 6 AVG checklist... pagina 8 Over Kader... pagina 12 Kader, bureau voor kwaliteitszorg b.v. - 3

4 Algemene Verordening Gegevensbescherming (AVG) Op 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). De AVG is een Europese wet waarbinnen de omgang met persoonsgegevens en het recht op privacy geregeld is. De AVG wet geldt binnen de hele Europese Unie. Alleen noodzakelijke persoonsgegevens mogen op een zorgvuldige manier worden opgeslagen en verwerkt. Bij het overtreden van de AVG wetgeving kan een boete opgelegd worden van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Voorkom een boete en zorg dat u tijdig bent voorbereid. De voordelen Met het voldoen aan de AVG wetgeving heeft u zekerheid over de inrichting van privacy en informatiebeveiliging. Uw organisatie voldoet hiermee aan Europese wetgeving en u voorkomt een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Tevens verkleint u de kans op imagoschade doordat datalekken gemeld moeten worden aan betrokken personen en uw organisatie negatief in het nieuws beland. Algemene Verordening Gegevensbescherming (AVG) De AVG is bedoeld om privacy rechten van natuurlijke personen uit te breiden en te versterken. Met de komst van de AVG ligt er meer verantwoordelijkheid bij de verwerking van persoonsgegevens voor de verwerkende organisatie zelf. Dit vertaalt zich naar een aantal praktische voorwaarden: Transparantie De AVG eist dat uw organisatie helder heeft waar en om welke reden persoonsgegevens worden verzameld en verwerkt. Bovendien bent u verplicht personen waarvan u informatie verzameld en verwerkt te informeren over deze gegevensverwerking en bijbehorende rechten. Doelbeperking Het doel waarvoor uw organisatie persoonsgegevens verzamelt en verwerkt moet een wettige basis hebben en mag niet zomaar veranderen. Artikel 6 van de AVG geeft een aantal duidelijke grondslagen voor de rechtmatigheid van verwerking. Is geen van die grondslagen van toepassing, dan mag u de gegevens niet verzamelen en verwerken. Gegevensbeperking Uw organisatie mag niet meer gegevens verzamelen dan nodig is voor het bereiken van haar doelen. De doelen zijn de redenen waarom persoonsgegevens worden verzameld, zoals omschreven voor het borgen van de transparantie. Wanneer het doel komt te vervallen, dan zal de verwerking moeten worden gestaakt. Verandert het doel, dan moet goed worden nagegaan of de nieuwe doelstelling te verenigen is met de oorspronkelijke doelstelling. Is dat niet het geval, dan zal de verwerking moeten worden stopgezet. Juistheid Bij de verwerking van persoonsgegevens zal uw organisatie alle redelijke maatregelen moeten nemen voor het verzamelen van de juiste gegevens. Indien nodig dienen gegevens te worden aangepast of verwijderd als de gegevens niet kloppen. Bewaarbeperking De bewaartermijn van persoonsgegevens zal moeten worden beperkt tot een termijn die in redelijkheid overeenstemt met het doel waarvoor de gegevens worden verzameld. Wanneer het nodig is om aan andere wettelijke verplichtingen te voldoen, zoals bijvoorbeeld de administratieplicht, dan mogen persoonsgegevens worden bewaard. Integriteit en vertrouwelijkheid Voor het waarborgen van een goede informatiebeveiliging zal uw organisatie technische en organisatorische maatregelen moeten treffen. Persoonsgegevens mogen alleen toegankelijk zijn voor medewerkers die deze gegevens verwerken. 4 - Kader, bureau voor kwaliteitszorg b.v.

5 Ook dienen persoonsgegevens beschermd te zijn tegen onopzettelijk verlies of diefstal. Verantwoording U dient aantoonbaar te maken dat uw organisatie de nodige inspanningen heeft verricht om aan de AVG te kunnen voldoen. Zorg daarom voor een helder beschreven privacybeleid en goed getraind personeel. Een goede verslaglegging van het soort gegevens, het doel daarvan en de periode van bewaren is van groot belang. Privacy Impact Assesment Het uitvoeren van een Privacy Impact Assesment (PIA) is volgens de AVG wet verplicht voor organisaties en rijksoverheden die op grote schaal persoonsgegevens verwerken. Een PIA wordt ook wel gegevensbeschermingseffectbeoordeling genoemd. Deze PIA is ook verplicht bij een verandering in de verwerking van persoonsgegevens, zoals uitbesteding, verandering van hardware of software. In dit geval zal de verantwoordelijke verplicht zijn de PIA te updaten. Informatiebeveiligingssysteem obv ISO / NEN 7510 Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO of NEN 7510 (voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie). Voldoen aan de ISO / NEN 7510 norm of het hebben van certificaat daaromtrent is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG. Er wordt geen expliciete verwijzing gemaakt naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG. Functionaris Gegevensbescherming Het aanstellen van een Functionaris Gegevensbescherming (FG) is volgens de AVG verplicht voor bepaalde organisaties: Overheidsinstanties en publieke organisaties ongeacht het type gegevens dat ze verwer ken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorgen onderwijsinstellingen. Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, bijvoorbeeld de profilering van mensen voor het maken van risico-inschattingen of cameratoezicht. Relevant is het aantal mensen dat een organisatie volgt, de hoeveelheid gegevensverwerking en hoe lang de organisatie mensen volgt. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden en waarbij dit een kernactiviteit is. Ook als een FG niet verplicht is, kan het handig zijn om deze aan te stellen voor de continue en goede bescherming van persoonsgegevens. Kader, bureau voor kwaliteitszorg b.v. - 5

6 De Kader aanpak Kader kan uw organisatie ondersteunen bij het voldoen aan de AVG wetgeving. Wij starten daarbij met een nulmeting. Op basis van de uitkomst daarvan kunnen wij u ondersteunen bij het uitvoeren van Privacy Impact Assessments (PIA), het opstellen van een Privacybeleid, het beschikbaar stellen van een Functionaris Gegevensbescherming (FG) en/ of het inrichten van een managementsysteem voor privacy en ISO / NEN 7510 informatiebeveiliging. Onze praktisch ingestelde en ervaren adviseurs informatiebeveiliging hebben ruime ervaring in de branche en ondersteunen uw organisatie graag bij de diverse werkzaamheden. Privacy nulmeting Bij het uitvoeren van de Privacy nulmeting vragen wij onder andere naar het Privacybeleid, de verwerking van persoonsgegevens, grondslagen van de verwerkingen en de aanwezigheid van een Functionaris Gegevensbescherming (FG). Het resultaat van de Privacy nulmeting is een lijst met punten die niet conform de AVG zijn ingericht en concrete verbeteradviezen voor verdere optimalisatie van de AVG wet. Privacy Impact Assesment Bij het uitvoeren van de Privacy Impact Assesment (PIA) verzamelen wij vooraf alle noodzakelijke informatie, zoals het Privacybeleid, overzicht en doel van gegevensverwerkingen en de bedrijfsprocessen waarin de persoonsgegevens worden verwerkt worden geanalyseerd. De PIA geeft een objectief beeld van belangrijke risicogebieden. Gezamenlijk wordt de omvang, impact en kans van optreden ingeschat. Op basis hiervan kan gekozen worden voor het accepteren, verminderen of het vermijden van risico s. Vervolgens bieden wij concrete adviezen voor dataminimalisatie, anonimiseren, technische en organisatorische maatregelen. Aan het eind van het traject wordt een PIA rapport opgeleverd. Op basis van dit rapport kunnen noodzakelijke beslissingen worden genomen. De PIA van Kader voldoet aan de het toetsmodel van de Autoriteit Persoonsgegevens. Functionaris Gegevensbescherming Als blijkt dat uw organisatie verplicht is een onafhankelijk Functionaris Gegevensbescherming (FG) aan te stellen, dan kunt u een adviseur van Kader inhuren. Kader heeft praktisch ingestelde en ervaren adviseurs Informatiebeveiliging & Privacy in dienst die de rol van Functionaris Gegevensbescherming op zich kunnen nemen. Hiermee houdt u toezicht op de toepassing en naleving van de AVG en geeft u invulling aan het privacybeleid. Op basis van uw wensen met betrekking tot de invulling van de rol van Functionaris Gegevensbescherming, de omvang van de organisatie en de complexiteit van de gegevensverwerking maakt Kader een passend voorstel waarin frequentie en expertise van inzet uitgebreid omschreven staan. Onze adviseurs Informatiebeveiliging zijn onafhankelijk en voldoen hiermee aan de eis van de AVG. Zij hebben veel ervaring bij verschillende organisaties opgedaan en hebben toegang tot een uitgebreid netwerk van informatiebeveiligers. ISO / NEN 7510 Kader kan uw organisatie ondersteunen bij de opzet en invoering van een informatiebeveiligingssysteem op basis van de ISO of NEN 7510 (zorgsector). Een informatiebeveiligingssysteem is geen verplichting volgens de AVG maar het helpt om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG. Met een nulmeting beoordelen wij in hoeverre uw organisatie al invulling geeft aan de ISO / NEN 7510 en wat exact nodig is om te komen tot certificering. Na de opzet en invoering van een praktisch hanteerbaar en efficiënt digitaal informatiebeveiligingssysteem kunnen wij de interne audit, directiebeoordeling en begeleiding naar certificering verzorgen. 6 - Kader, bureau voor kwaliteitszorg b.v.

7 Wilt u uitgebreide informatie over de Kader aanpak bij ISO / NEN 7510 certificering? Download dan de brochure Brochure ISO Brochure NEN 7510 GOED TE WETEN Heeft uw organisatie behoefte aan extra capaciteit en/of kennis? Kader biedt met eigen Information Security Managers een flexibele oplossing voor benodigde capaciteit, kennis, kunde en vaardigheden en continuïteit bij ziekte, zwangerschap of functieverandering! Investering De kosten voor de Privacy nulmeting bedragen 1.425, inclusief rapportage. Verdere ondersteuning is maatwerk. De tijdsinvestering en kosten hiervoor zijn sterk afhankelijk van de complexiteit van de maatregelen en de te ondernemen acties om te voldoen aan de AVG. Hebben wij uw belangstelling gewekt? Vraag dan een offerte aan of neem contact met ons op! Kader, bureau voor kwaliteitszorg b.v. - 7

8 AVG checklist AVG klaar in 8 stappen 1 Breng gegevensstromen in kaart Breng alle gegevensstromen in uw organisatie in kaart. Bepaal welke van die stromen persoonsgegevens bevatten. Leg voor elke verwerking vast met welk doel u die gegevens verwerkt, hoe lang u deze gegevens bewaart (bewaarbeperking), welke groepen van gebruikers binnen uw organisatie toegang moeten hebben tot die gegevens en als u die gegevens weer aan anderen beschikbaar stelt om welke categorieën van ontvangers het gaat. Wees daarbij alert op drie zaken: Bijzondere gegevens Gegevens die onder uw verantwoordelijkheid worden verwerkt door een derde partij (verwerker) Doorgifte van gegevens naar organisaties of landen buiten de Unie omdat daarvoor aparte regels gelden Het gaat hierbij om alle persoonsgegevens, dus ook om bijvoorbeeld personeelsgegevens, sollicitanten, deelnemers etc. Zo weet u precies wat er speelt binnen uw organisatie. 2 Aanstellen Functionaris Gegevensbescherming Bepaal of u volgens de AVG wet een Functionaris Gegevensbescherming (FG) moet aanstellen. Stel de FG tijdig aan indien van toepassing. De AVG verplicht u een Functionaris Gegevensbescherming aan te stellen, in elk geval waarin het gaat om een van de volgende situaties: a. De verwerking wordt verricht door een overheidsinstantie b. Er sprake is van verwerkingen die vanwege hun aard, hun omvang of hun doeleinden regelmatige observatie vereisen c. Er sprake is van grootschalige verwerking van bijzondere gegevens zoals bedoeld in AVG-artikel 9 en/of 10 Een ziekenhuis kan bijvoorbeeld niet veilig functioneren als gezondheidsgegevens niet in patiëntdossiers verwerkt kunnen worden. Het verwerken van deze gegevens moet in deze context dan gezien worden als een kernactiviteit en valt daarmee automatisch onder situatie c. Bent u op basis van een eerste analyse verplicht een FG aan te stellen? Doe dit dan zo snel mogelijk en betrek de functionaris bij het doorlopen van de stappen uit deze checklist! Overweeg toch ook een FG aan te stellen als dit geen verplichting is. Dit kan van toegevoegde waarde zijn voor uw organisatie. De FG hoeft geen fulltime functie te zijn en kan ook iemand zijn die op basis van een opdrachtovereenkomst voor u werkt. 3 Stel privacybeleid op Leg vast hoe u omgaat met persoonsgegevens binnen uw organisatie. Werk het beleid verder uit in gedragsregels, werkinstructies en draaiboeken. Door deze stap bent u niet alleen op papier, maar ook in de praktijk klaar om snel te handelen bij incidenten. De AVG wet eist dat u aantoonbaar in control bent. Het vastleggen van hoe u omgaat met persoonsgegevens binnen uw organisatie is daarvoor een logische eerste stap. Het privacybeleid kunt u vervolgens verder uitwerken in gedragsregels, werkinstructies en draaiboeken voor de verschillende processen die voortvloeien uit de AVG zoals het recht op inzage, vergetelheid, portabiliteit en de meldingsplicht bij datalekken. Tenslotte moet u dan nog zorgen voor bewustwording binnen uw organisatie om niet alleen op papier maar ook in de praktijk te kunnen voldoen aan de AVG. 8 - Kader, bureau voor kwaliteitszorg b.v.

9 4 Bepaal de rechtsgeldige grondslagen Bepaal voor welke verwerking van persoonsgegevens er een rechtsgeldige grondslag is. De verwerking van persoonsgegevens mag alleen gebeuren als daar een rechtsgeldige grondslag voor is. Deze grondslagen zijn beschreven en benoemd binnen de AVG wet. Het is zaak om per verwerking te bepalen welke grondslagen van toepassing zijn. Is er geen grondslag? Dan mag verwerking niet plaatsvinden. Het verwerken van bijzondere gegevens is in de AVG per definitie verboden tenzij aan tenminste van de in artikel 9 AVG vermelde bijzondere voorwaarden is voldaan. Is geen van die voorwaarden van toepassing, dan mag verwerking niet plaatsvinden. 5 Pas processen en procedures aan Pas processen, procedures en systemen aan. Voer deze tijdig uit en controleer de effectiviteit van aanpassingen. Privacy by Default en Privacy by Design zijn belangrijke uitgangspunten binnen de AVG wet. Om aan deze beginselen te kunnen voldoen is het misschien nodig dat u aanpassingen doet in processen, procedures en systemen. Voer deze tijdig uit en controleer de effectiviteit van aanpassingen. Daarnaast worden nieuwe rechten geïntroduceerd voor betrokkenen van wie u gegevens verwerkt. U kunt hierbij denken aan bijvoorbeeld het recht op inzage, rectificatie, vergetelheid, portabiliteit en bezwaar. Deze rechten vereisen mogelijk dat u nieuwe procedures dient in te inrichten die moeten worden beschreven en waarvoor uw medewerkers geïnstrueerd moeten worden. Voer ook deze werkzaamheden tijdig uit en controleer wederom de effectiviteit van maatregelen en aanpassingen. 6 Check alle verwerkersovereenkomsten Leg een verwerkersovereenkomst vast voor iedere derde partij waaraan de verwerking van persoonsgegevens is uitbesteed. Heeft u de verwerking van persoonsgegevens of delen daarvan uitbesteed aan een leverancier of onderaannemer (verwerker) dan blijft u als opdrachtgever (verwerkingsverantwoordelijke) verantwoordelijk. U mag alleen een beroep doen op partijen die voldoende garanties bieden over het uitvoeren van de verwerking conform de AVG en over de waarborging van de bescherming van betrokken personen. Leg daarom per verwerking en per verwerker alle afspraken rond de uitbesteding zorgvuldig vast en controleer regelmatig of de gemaakte afspraken nog toereikend zijn en worden nagekomen. Zo borgt u wie welke gegevens verwerkt onder welke voorwaarden. Uiteraard dienen deze voorwaarden te voldoen aan de AVG wetgeving. 7 Train medewerkers Zorg ervoor dat uw medewerkers op de hoogte zijn van het privacybeleid en van (nieuwe) maatregelen om de veiligheid van de verwerking van gegevens te vergroten. Zet een awareness training jaarlijks op de agenda! U kunt het op papier allemaal goed regelen maar de maatregelen staan of vallen met de mate waarmee uw medewerkers begrijpen waarom bescherming van persoonsgegevens voor uw organisatie belangrijk is. De meeste datalekken ontstaan door menselijke fouten. Kennis alleen is niet voldoende en het opleggen van regels helpt niet genoeg. Het gaat er om begrip en draagvlak te creëren endat lukt alleen als de bescherming van privacy en data zichtbaar deel uitmaken van de kernwaarden van uw bedrijf. Maak privacy en dataveiligheid zichtbaar onderdeel van uw plannen en zet het bij uw medewerkers prominent op de kaart door er telkens een terugkerend thema van te maken. 8 Laat een audit uitvoeren Bepaal de huidige stand van zaken en stel vast welke maatregelen u nog moet nemen. Bent u klaar voor de AVG? Met een audit kunt u de huidige stand van zaken vaststellen en bepalen welke maatregelen u nog moet nemen. Als er na 25 mei 2018 veranderingen zijn dient u een PIA (Privacy Impact Analyse) uit te voeren om te bepalen of aanvullende maatregelen nodig zijn. Kader, bureau voor kwaliteitszorg b.v. - 9

10 Over Kader Kader, bureau voor kwaliteitszorg verzorgt advies en opleidingen op het gebied van kwaliteit, veiligheid & arbo en milieu. We ondersteunen o.a. bij: Het behalen van certificaten (zoals ISO 9001 of ISO 27001). Het behalen van een diploma (zoals Hogere Veiligheidskunde of het bewijs van vakbekwaamheid tot EPA adviseur). Het voldoen aan weten regelgeving op het gebied van veiligheid, kwaliteit en milieu. Kader is approved partner van gerenommeerde certificatie instellingen, heeft Hobéon SKO toegelaten opleidingen en is ISO 9001 gecertificeerd. De officiële erkenning door onafhankelijke certificatie instellingen onderstreept onze kwaliteit van dienstverlening en toont aan dat u verzekerd bent van een betrouwbare partij met ruime kennis en ervaring in het opzetten en implementeren van managementsystemen en een succesvolle begeleiding naar certificatie. CONTACT Mocht u aanvullende informatie wensen, neem gerust contact met ons op. Telefoonnummer info@kader.nl Website WAAROM KADER? Meer dan 20 jaar vakervaring; Begeleiding naar én na certificering; Praktische, resultaatgerichte en integrale aanpak; Approved partner van o.a. DEKRA, TÜV en BSI. Kader heeft vestigingen in Zeist, Almelo, Amsterdam, Eindhoven, Groningen en Rotterdam. V Kader, bureau voor kwaliteitszorg b.v. Deze brochure is met de grootst mogelijke zorgvuldigheid samengesteld. Kader behoudt zich het recht voor zonder enige verplichtingen naar of jegens derden aanpassingen aan deze brochure door te voeren Kader, bureau voor kwaliteitszorg b.v.

11 Kader, bureau voor kwaliteitszorg b.v. - 11

12 Zeist Almelo Amsterdam Eindhoven Groningen Rotterdam