In 10 stappen voorbereid op de AVG

Transcriptie

1 In 10 stappen voorbereid op de AVG

2 10 STAPPEN TER VOORBEREIDING OP DE ALGEMENE VERORDENING GEGEVENS BESCHERMING (AVG) Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Om u te helpen met het naleven van deze wetgeving heeft de Autoriteit Persoonsgegevens (AP) een stappenplan ontwikkeld. Guardian360 heeft dit stappenplan voor u doorgenomen en er een aantal concrete aanbevelingen aan toegevoegd. 1 Bewustwording Het is belangrijk de medewerkers binnen uw organisatie bewust te maken van de nieuwe privacy regels die geïntroduceerd worden in de nieuwe AVG. Het aanscherpen en veranderen van menselijk gedrag kost tijd. Hierom is het belangrijk om hier op tijd mee te beginnen. Naast dat de AP instrumenten aan biedt om u te helpen met het naleven van de AVG, zijn er een aantal andere activiteiten die u kunt ontplooien om uw medewerkers bewuster te maken omtrent informatiebeveiliging. Zo biedt Guardian360 met haar Phishing as a Service dienst u ondersteuning op het gebied van informatiebeveiliging bewustzijn van uw medewerkers. Door continu te testen of uw organisatie vatbaar is voor een phishingaanval, kunt u uw medewerkers er ook doorlopend van doordringen dat zij alert zijn. Hierdoor verlaagt u de kans op een geslaagde phishingaanvol fors. Daarnaast kunt u aan uw auditor aantonen dat u uw medewerkers periodiek waarschuwt voor de gevaren van een phisingcampagne. 2 Rechten van de betrokkenen Betrokkenen, waarvan u persoonsgegevens verwerkt, krijgen meer en verbeterde rechten onder de AVG. Zorg er dus voor dat deze betrokkenen hun recht goed kunnen uitoefenen. Ook worden er nieuwe rechten ingevoerd. Bijvoorbeeld het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ten slotte, kunnen betrokkenen klachten indienen over uw manier van handelen omtrent hun persoonsgegevens. 3 Overzicht verwerkingen Belangrijk is om uw gegevensverwerkingen in kaart te brengen. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. U moet namelijk kunnen voldoen aan de documentatieplicht. Dit houdt in dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt of als betrokken dit opvragen. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? 4 Privacy impact assessment (PIA) Onder de AVG kunt u verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico s te verkleinen. Dit moet u doen als het een hoog privacyrisico met zich meebrengt. Een hoog privacyrisico is in iedergeval zo als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Op voorhand kunt u alvast een inschatting maken of u PIA s moet gaan gebruiken, en hierop anticiperen. Bron: In 10 stappen voorbereid op de AVG- Autoriteit Persoonsgegevens 2

3 5 Privacy by design & privacy by default Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Door continu scanning en monitoring van uw IT-omgeving kunt u persoonsgegevens en andere belangrijke data goed beschermen Doormiddel van 8 scanners scant Guardian360 uw IT-omgeving op kwetsbaarheden, zwakke wachtwoorden en andere configuratiefouten. Deze worden vervolgens in begrijpelijke taal in een dashboard gepresenteerd, zodat ze snel opgelost kunnen worden en een datalek voorkomen kan worden. Met de Guardian360 diensten kunt u daarnaast met vertrouwen aan uw auditor aantonen dat u in control bent. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. 6 Functionaris voor de gegevensbescherming Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Voor overheidsinstanties en publieke organisaties is het verplicht om een FG aan te stellen, Proactive to prevent breach rather than just to react to it. Valuing privacy is the default setting Embed privacy into design Full lifecycle protection Taking a usercentric approach Avoid false dichotomies, like privacy vs. revenue Be transparent with users Ongeacht het type gegevens dat ze bewerken. Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. U kunt dit controleren in de het document: Guidelines on Data Protection Officers, gepubliceerd door de Autoriteit Persoonsgegevens. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. 7 Meldplicht datalekken Verschillend aan de AVG ten op zichten van de huidige meldplicht data lekken is dat de meldplicht datalekken zich vooral focust op de strengere eisen met betrekking tot uw eigen registratie van datalekken. Vooral de datalekken die zich niet binnen de organisatie hebben voorgedaan. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken. Guardian360 heeft hiervoor een Hacker Alert ontwikkeld, hiermee worden inbreuken op IT-systemen gesignaleerd. Uw organisatie kan hier snel op acteren en eventuele schade voorkomen. Ook kunt u op deze manier een eventuele inbreuk op een correcte wijze melden. 3

4 8 Bewerkersovereenkomsten Controleer of de door u uitbesteedde gegevensbewerking voldoen aan de vereisten in de AVG. U moet hierbij letten op al eerder afgesloten contracten met uw bewerker, het is raadzaam om te controleren of deze contracten ook voldoen aan de nieuwe wetgeving. Zorg ervoor dat u tijdig eventuele wijzigen doorvoert. Informatie over de vereisten van de AVG zijn te vinden op de website van de Autoriteit Persoonsgegevens. 9 Leidende toezichthouder Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Om u wat extra uitleg te verschaffen over deze toezichthouders heeft de Autoriteit Persoonsgegevens Guidelines for identifying a controller or processor s lead supervisory autority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshopregel. De Guardian360 rapportages worden standaard in de Nederlandse en in de Engelse taal opgeleverd, u kunt dus ook eenvoudig over de grens aantonen dat u uw uiterste best doet om gegevens veilig te houden. 10 Toestemming Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. Guardian360 kan u helpen! Is het voor u nog niet duidelijk hoe u zich kunt voorbereiden op de komende AVG? Of wilt u meer informatie over de oplossingen rondom dit onderwerp? Mogelijk kan een handboek privacy u verder op weg helpen. Het handboek dient als naslagwerk en vertaalt privicywet- en regelgeving naar eenvoudige procedures, best practices en toelichtingen. Wilt u dat wij contact met u opnemen? Neem dan gerust contact met ons op zodat wij u kunnen koppelen aan een van onze partners die u kunnen helpen met uw vragen. 4

5 Guardian360 Schouwburgplein CL Rotterdam Postbus CR Rotterdam +31(0) Guardian360.nl Guardian360