staat is om de AVG na te komen.

Transcriptie

1 Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat er nog gedaan moet worden om op 25 mei aanstaande klaar te zijn voor de AVG. Neem contact op Kunt u hulp gebruiken bij de nulmeting of heeft u behoefte aan advies? Neem dan contact op met Koos Wijdenes, Security & Privacy Officer bij Qualogy via telefoonnummer of via security_privacy@qualogy.com Op welke plekken in de organisatie worden persoonsgegevens verwerkt en voor welk doel? Toelichting: ieder bedrijf heeft een personeelsadministratie. Deze valt onder de AVG. Daarnaast heeft ieder bedrijf te maken met werving en selectie. Ook in dat proces worden persoonsgegevens verzameld. Worden er ook bij het uitvoeren van het hoofddoel van de organisatie persoonsgegevens verzameld? Zo ja, welke zijn dat en waarom? Is er een grondslag voor de verwerking van persoonsgegevens? Toelichting: de AVG geeft een aantal grondslagen aan waardoor het verzamelen van persoonsgegevens is toegestaan: 1. expliciete toestemming van de betrokkene; 2. voor de uitvoering van een overeenkomst; 3. om te voldoen aan een wettelijke plicht (v.b. verstrekking van gegevens over werknemer aan de Belastingdienst); 4. om de vitale belangen van de betrokkenen te beschermen (v.b. verwerking van medische gegevens bij een ongeval); 5. voor een taak van algemeen belang of taak van het openbaar gezag (v.b. volksgezondheid, sociale bescherming) 6. het eigen gerechtvaardigde belang van de verwerkingsverantwoordelijke (belangenafweging).

2 Heeft de organisatie in kaart gebracht welke persoonsgegevens zij bijhoudt, voor welk doel zij deze bijhoudt, waar deze vandaan komen en met wie deze worden gedeeld? Toelichting: per 25 mei 2018 is iedere organisatie verplicht om een registratie bij te houden van alle verwerkingsactiviteiten binnen de organisatie. Deze verplichting geldt voor zowel de verantwoordelijke als de verwerker. Persoonsgegevens mogen alleen verzameld worden voor zogenaamde welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit betekent dat uw organisatie alleen die gegevens mag verwerken voor het specifieke doel waarvoor deze gegevens zijn verkregen. Dit moet zijn vastgesteld en omschreven voordat de organisatie begint met de verwerking. Gegevens die uw organisatie over klanten heeft verzameld in het kader van het uitvoeren van een overeenkomst, mogen niet zomaar gebruikt worden voor marketingdoeleinden. Zijn binnen mijn organisatie de verantwoordelijkheden voor privacy passend belegd? Toelichting: de AVG vereist voor sommige organisaties dat zij een zogenaamde functionaris voor de gegevensbescherming c.q. data protection officer aanwijzen. Deze persoon draagt de verantwoordelijkheid voor het naleven van de privacywetgeving. Dit is verplicht in drie situaties; overheidsinstantie, stelselmatige observatie of grootschalige verwerking van bijzondere persoonsgegevens. De organisatie moet beoordelen of zij de plicht hebben een dergelijke functionaris aan te stellen en zo ja, welke plaats deze functionaris inneemt binnen de structuur en het beleid van de organisatie. Heeft mijn organisatie met al haar verwerkers (bijvoorbeeld leveranciers, ketenpartners, samenwerkingspartners) een verwerkersovereenkomst gesloten en ziet de organisatie toe op de naleving van de verplichtingen uit de verwerkersovereenkomst? Toelichting: een verwerker is een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerkingsverantwoordelijke is degene die het doel van en de middelen voor de verwerking kiest. De verwerker kiest dus per definitie niet het doel en de middelen. Doe hij dat toch, dan is hij een verwerkingsverantwoordelijke, al dan niet gezamenlijk met zijn wederpartij. De verantwoordelijke en de verwerker zijn verplicht om de afspraken rondom de voorgenomen verwerking te bestendigen in een verwerkersovereenkomst (voorheen bewerkersovereenkomst). Het hebben van deze afspraken is verplicht en welke afspraken er moeten precies worden gemaakt is onder de AVG uitgebreid. Heeft u bestaande bewerkersovereenkomsten al gecontroleerd op de nieuwe vereisten? De afspraken kunnen in een aparte overeenkomst worden opgenomen, of onderdeel van een bestaande overeenkomst zijn. Verwerkingsverantwoordelijke en verwerker zijn verplicht om de voorgenomen verwerking te regelen in een verwerkersovereenkomst. De organisatie moet garanderen dat de verplichtingen uit de verwerkersovereenkomst worden nageleefd. De verantwoordelijk moet borgen dat de verwerker eveneens in

3 staat is om de AVG na te komen. Hoe moeten we omgaan met een datalek, is er een procedure voor aanwezig? Toelichting: wat doe je indien een laptop gestolen is of een USB stick is kwijt geraakt. Of er is sprake van Ransomware of een geslaagde Phishing mail poging. Een met persoonsgegevens naar een verkeerd adres gestuurd? Vertel uw medewerkers wat ze moeten doen bij een beveiligingsincident. Mogelijk is het een datalek en moet u als organisatie daar iets mee doen. Het is belangrijk dat medewerkers weten hoe en waar ze een melding kunnen doen. Houdt van deze meldingen een registratie bij. Is het incident een datalek volgens de regels van de AVG? Dan moet dit datalek zonder vertraging (doch uiterlijk na 72 uur) worden gemeld aan de toezichthouder, en in sommige gevallen ook aan de betrokkenen. Organisaties doen er daarom goed aan om over procedures te beschikken om incidenten en datalekken te signaleren, te registreren, te analyseren, op te volgen en af te handelen. Deze procedure geeft ook aan of en wanneer datalekken worden gemeld aan de toezichthouder en hoe, passend bij de communicatiestijl van de organisatie, betrokkenen worden geïnformeerd. Als er in de organisatie iets nieuws is of een wijziging plaatsvindt, voeren we dan een Privacy Impact Assessment (PIA) uit op verwerkingen die mogelijk een verhoogd risico opleveren? Toelichting: de organisatie moet een zogeheten gegevensbeschermingseffectbeoordeling, Privacy Impact Assessment (PIA), uitvoeren voor verwerkingen die waarschijnlijk een verhoogd risico opleveren. Om een PIA goed en tijdig te kunnen uitvoeren doet de organisatie er goed aan om het PIA te implementeren en verbinden aan andere organisatorische processen (Change proces). De organisatie stelt zich daarbij de vraag in welke situaties het nodig is een dergelijke analyse uit te voeren. Is er een FG aangesteld, dan moet zijn/haar advies worden ingewonnen. Wanneer is sprake van een verhoogd risico? Bij iedere verwerking maak je als organisatie een eerste beoordeling van de privacyrisico s. Een volledige PIA is niet steeds nodig. Die is wel vereist in situaties waar een verhoogd risico bestaat, bijvoorbeeld wanneer een nieuwe technologie wordt geïmplementeerd of wanneer je profilering gaat toepassen op betrokkenen. Beveiligt de organisatie (bijzondere) persoonsgegevens op een technische, organisatorische en fysieke wijze op passend niveau en test en evalueert de beveiliging periodiek? Toelichting: de organisatie moet per proces of dienst bepalen wat de passende beveiligingsmaatregelen zijn om de toegang tot persoonsgegevens te beschermen. Mogelijke maatregelen zijn: o fysieke en logische toegangsbescherming; o pseudonimisering, anonimisering en encryptie; o onafhankelijke toetsing van software en infrastructuur (hackerstesten). De kwaliteit en de effectiviteit van de maatregelen moet periodiek worden getoetst en indien nodig moet met de leverancier worden afgesproken hoe de

4 leverancier aantoont dat de door hem getroffen maatregelen effectief zijn. Het heeft de voorkeur de beveiligingsmaatregelen onderdeel te laten zijn van het informatie beveiliging management systeem (ISMS). De organisatie moet handelen binnen een PDCAcyclus: beoordeel de risico s, gebruik erkende beveiligingstandaarden en controleer en evalueer de resultaten. De AVG verlangt verder dat de organisatie kan aantonen dat alle passende maatregelen zijn genomen. Houden we bij de start van het ontwerpen van een informatiesysteem al rekening met privacy? Toelichting: de organisatie moet het concept van Privacy by design toepassen en verbinden aan andere organisatorische processen. Het uitgangspunt dient te zijn om gegevensbescherming te stimuleren bij de ontwikkeling en de uitwerking van toepassingen, producten en diensten die persoonsgegevens verwerken. Dit houdt in dat de organisatie zo veel mogelijk rekening houdt met de privacy van betrokkenen en de vereisten uit de AVG. Zijn de instellingen van programma s, website(s) of diensten dusdanig ingesteld dat maximale privacy wordt geborgd? Toelichting: de organisatie moet het concept van Privacy by default toepassen en verbinden aan andere organisatorische processen. Dit houdt in dat de organisatie de standaardinstellingen zo gekozen heeft dat de privacy maximaal wordt geborgd. Rechten uitdelen op basis van need to know in plaats van zoveel mogelijk rechten omdat dat makkelijk is. Worden personen (betrokkenen), van wie mijn organisatie (bijzondere) persoonsgegevens verwerkt, tijdig en begrijpelijk geïnformeerd over deze verwerking? Toelichting: een bekend middel om de betrokkene te informeren is de privacyverklaring c.q. privacystatement. Maar dit kan ook in de vorm van symbolen of bij aanschaf van een product of dienst. Deze moet op de website van de verwerkingsverantwoordelijke gepubliceerd en bespreekt dan alle privacyaspecten van een dienst, of zelfs de privacyaspecten van alle dienstverlening van de organisatie. De verklaring moet dus informatie verschaffen over welke persoonsgegevens worden verwerkt, met welke doelen en op welke wijze. De verklaring moet duidelijk een eenvoudig zijn. Dat betekent bij voorkeur niet hoger dan taalniveau B2 van het Europees Referentiekader Talen. Is mijn organisatie voorbereid op de rechten die de betrokkene mag uitoefenen? Toelichting: de huidige procedures binnen uw organisatie moeten voorzien in alle rechten waarop de betrokkenen zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronische zullen worden meegedeeld. De AVG voorziet o.a. in de volgende rechten voor de betrokkene: o Recht van inzage van de betrokkene;

5 o Recht op rectificatie; o Recht op gegevenswissing ( recht op vergetelheid ) o Recht op beperking van de verwerking o Recht op overdraagbaarheid van gegevens o Recht van bezwaar. Is er voldoende bewustwording in de organisatie aangaande privacy en wat dit betekent? Toelichting: de organisatie moet ervoor zorgdragen dat sleutelfiguren en beleidsmakers op de hoogte zijn van de nieuwe wetgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke bestaande procedures, documenten e.d. mogelijk problematisch kunnen zijn in het licht van de AVG. Het implementeren van de AVG kan een grote invloed hebben op de beschikbare middelen, zeker voor grote en meer complexe organisaties. De organisatie moet tevens medewerkers informeren over de aankomende veranderingen.