Handvatten bij de implementatie van de AVG

Transcriptie

1 Handvatten bij de implementatie van de AVG 2017 zal voor veel organisaties in het teken staan van de Algemene Verordening Gegevensbescherming (AVG). Althans, dat zou zo moeten zijn, want in mei 2018 wordt deze verordening in de hele EU van kracht. Deze nieuwe wetgeving heeft een grote impact en organisaties doen er goed aan zich dit jaar voor te bereiden. Hiervoor zijn er verschillende stappenplannen in omloop die kunnen helpen bij de voorbereiding zoals bijvoorbeeld het 10 stappenplan van de Autoriteit Persoonsgegevens (AP in Nederland) of het 13 stappenplan van de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL in België). Ondanks de aanwezigheid van diverse stappenplannen krijg ik regelmatig de vraag naar een concrete aanpak of methodiek. Een uniforme aanpak heb ik niet voorhanden; het blijft immers maatwerk. Desondanks heb ik een poging gedaan om wat extra handvatten te geven die wellicht bijdragen aan een aanpak. Ik heb gekozen voor een fasering in de volgende drie hoofpunten: 1. Bewustwording Inventariseren, registreren en categoriseren... 2 Registreer de verwerkingsactiviteiten: Artikel 30 AVG... 2 Categoriseer de persoonsgegevens en stel de grondslagen voor de bewerking vast: Artikelen 6, 7, 8 en 9 AVG Organiseren, documenteren en onderhouden... 3 Sluit verwerkersovereenkomsten af: Artikel 28 AVG... 3 Documenteer en onderhoud de beveiligingsmaatregelen: Artikel 32 AVG... 4 Documenteer het wel of niet aanstellen van een Functionaris Gegevensbescherming: Artikel 37 AVG... 4 Voer Data protection impact assessments (DPIA s) uit: Artikel 35 AVG... 5 Privacy als norm: Artikelen 24 en 25 AVG... 6 Bereid je voor op incidenten: Artikelen 33 en 34 AVG Bewustwording Zorg ervoor dat je organisatie op tijd klaar is om te voldoen aan de verplichtingen die de AVG oplegt. Een en ander dient te zijn georganiseerd en ingeregeld vóór 25 mei Het implementeren van de AVG kan een behoorlijke impact hebben op tijd (en budget); het is zaak om hier op tijd mee te beginnen. Naast de bewustwording van de komst van de AVG is het goed om de medewerkers binnen je organisatie bewust te maken van hetgeen de AVG gaat brengen om zo de privacy awareness te verhogen. Juridict.nl 1

2 2. Inventariseren, registreren en categoriseren Registreer de verwerkingsactiviteiten: Artikel 30 AVG Elke verwerkingsverantwoordelijke en in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Deze verplichtingen zijn van toepassing op ondernemingen of organisaties die meer dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichtten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft. Ook voor organisaties die niet binnen deze groep vallen kan het waardevol zijn om dit register te voeren en zo bewust en zorgvuldig om te gaan met de verwerking van persoonsgegevens. Het register dient in schriftelijke vorm (dat mag overigens in een elektronische vorm zijn) te worden vastgelegd. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker (en/of de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker) het register ter beschikking van de Autoriteit Persoonsgegevens (AP). Het register bevat alle volgende gegevens: Documentatieplicht verwerkingsverantwoordelijke: de naam en de contactgegevens verantwoordelijke en eventueel gezamenlijke verantwoordelijken en in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; de verwerkingsdoeleinden; een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. Juridict.nl 2

3 Documentatieplicht verwerker: de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt en in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming; de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. Categoriseer de persoonsgegevens en stel de grondslagen voor de bewerking vast: Artikelen 6, 7, 8 en 9 AVG De verwerking van persoonsgegevens is op grond van art. 6 lid 1 AVG alleen rechtmatig als er een van de in dat artikel genoemde grondslagen geldt: toestemming van de betrokkene; noodzakelijk voor de uitvoering van de overeenkomst; noodzakelijk voor het voldoen aan een wettelijke verplichting; een vitaal belang te beschermen; vervulling taak van het algemeen belang of openbaar gezag; een gerechtvaardigd belang. Categoriseer de persoonsgegevens op grond van bovenstaande punten. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Dit is verwoord in art. 7 AVG samen met een aantal andere bepalingen inzake het geven en intrekken van deze toestemming. Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming en aandacht. 3. Organiseren, documenteren en onderhouden Sluit verwerkersovereenkomsten af: Artikel 28 AVG Een verwerkingsverantwoordelijke kan een verwerker inschakelen om namens hen persoonsgegevens te verwerken. De verwerkingsverantwoordelijke mag uitsluitend een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Dit dient te worden overeengekomen in een overeenkomst of dient te blijken uit een andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt. Meer over deze verwerkersovereenkomst is onder meer hier terug te vinden: Juridict.nl 3

4 Documenteer en onderhoud de beveiligingsmaatregelen: Artikel 32 AVG De verwerkingsverantwoordelijke en de verwerker (zie de tekst hiervoor en artikel 28 AVG) treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hierbij rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. De maatregelen die art. 32 AVG noemt omvatten onder meer: de pseudonimisering en de versleuteling van persoonsgegevens; het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. Naast deze meer technische maatregelen kent dit artikel ook een bepaling voor het handelen van natuurlijke personen. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden. Het aansluiten bij een goedgekeurde gedragscode, zoals bedoeld in artikel 40 AVG, of een goedgekeurd certificeringsmechanisme, zoals bedoeld in artikel 42 AVG, kan worden gebruikt als element om aan te tonen dat de bedoelde vereisten worden nageleefd. Documenteer het wel of niet aanstellen van een Functionaris Gegevensbescherming: Artikel 37 AVG De verwerkingsverantwoordelijke en de verwerker dienen op grond van art. 37 AVG in een aantal gevallen een Functionaris voor Gegevensbescherming (FG) ofwel Data Protection Officer (DPO) aan te stellen. In de volgende gevallen is de aanstelling verplicht: de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. Ook zonder verplichting kan het raadzaam zijn om een FG aan te stellen. Juridict.nl 4

5 In het kader van Accountability in de zin van de AVG, dienen organisaties hun keuze om wel of geen DPO aan te stellen te kunnen motiveren. Wanneer een organisatie bepaalt of er wel of geen DPO nodig is, dan dienen zij deze beoordeling te administreren. In de definitieve richtlijn voor de Functionaris Gegevensbescherming is bepaald dat deze beoordeling op elk gewenst moment door de Autoriteit Persoonsgegevens (AP) kan worden opgevraagd en dat deze beoordeling moet worden herzien, telkens wanneer er nieuwe activiteiten en diensten worden overwogen. Gezien de toenemende juridische gevolgen die deze analyse zal opleveren, worden organisaties geadviseerd om zorgvuldig om te gaan bij de beoordeling voor het inzetten van een FG. Op de site van Juridict.nl kun je meer informatie vinden over de FG ofwel DPO: Voer Data protection impact assessments (DPIA s) uit: Artikel 35 AVG Wanneer een soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, dan dient de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Dit gebeurt in het bijzonder bij een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan. Een DPIA is op grond van art. 35 AVG met name vereist in de volgende situaties: een systematische en uitgebreide beoordeling van persoonlijke aspecten van personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de persoon rechtsgevolgen zijn verbonden of die de persoon op vergelijkbare wijze wezenlijk treffen; grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten; stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. De uitkomst van de DPIA dient tenminste het volgende op te leveren: een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen; de beoogde maatregelen om de risico's aan te pakken. Meer informatie over de DPIA kun je lezen op: Juridict.nl 5

6 Privacy als norm: Artikelen 24 en 25 AVG De verwerkingsverantwoordelijke wordt binnen de AVG verplicht om passende en effectieve maatregelen te nemen opdat elke verwerkingsactiviteit overeenkomstig de AVG geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Het uitgangspunt hierbij is Privacy by Design en Privacy by Default. Dit moet overigens ook aangetoond kunnen worden. De verwerkingsverantwoordelijke dient passende technische en organisatorische maatregelen te treffen die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen. Hierbij kan worden gedacht aan pseudonimisering. Bij deze passende technische en organisatorische maatregelen moet rekening worden gehouden met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden. De verwerkingsverantwoordelijke dient passende technische en organisatorische maatregelen te nemen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor: de hoeveelheid verzamelde persoonsgegevens; de mate waarin persoonsgegevens worden verwerkt; de termijn waarvoor persoonsgegevens worden opgeslagen; de toegankelijkheid van de persoonsgegevens. Zoals al eerder is genoemd kan een goedgekeurd certificeringsmechanisme worden gebruikt om aan te tonen dat aan bovenstaande voorschriften is voldaan. Bereid je voor op incidenten: Artikelen 33 en 34 AVG Indien er een inbreuk in verband met persoonsgegevens (een datalek) heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en indien mogelijk uiterlijk 72 uur nadat hij er kennis van heeft genomen aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van personen. Wanneer het datalek een hoog risico inhoudt voor de rechten en vrijheden van personen, deelt de verwerkingsverantwoordelijke de betrokkene het datalek onverwijld mee. Een verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een datalek. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthouder in staat de naleving van dit artikel te controleren. In het geval van een datalek moet er snel worden gehandeld. Het is dus aan te raden om je hierop voor te bereiden. Hiervoor kun je een procedure opstellen waaruit blijkt welke functionarissen betrokken moeten worden indien een datalek wordt geconstateerd. Juridict.nl 6

7 Denk hierbij aan het bestuur of de directie, de eigenaar van de gegevens, de ICT-afdeling, de functionaris gegevensbescherming, de juridische afdeling, de afdeling communicatie, etc. In de procedure dient in elk geval te worden bepaald aan wie het datalek intern moet wordt gemeld, welke maatregelen er door wie binnen welke termijnen moeten worden genomen en hoe het datalek naar externe wordt gecommuniceerd. Hiervoor wordt er bij voorkeur op voorhand een communicatieplan opgesteld. Juridict.nl 7