AVG is nu de wet.
Dat is een feit.
En dit betekent dat technisch gezien voortaan elk bedrijf dat de gegevens van EU-burgers of ingezetenen verwerkt, dit in overeenstemming met de nieuwe regels moet doen. Anders lopen ze het risico op zware boetes.
Veel bedrijven zijn echter nog lang niet klaar voor deze dappere nieuwe wereld.
Voorbereiding op AVG is niet iets dat u in 1-2-3 kunt doen
Volgens een rapport van Capgemini dat deze maand is vrijgegeven:
zal 85% van de bedrijven in Europa en de Verenigde Staten niet klaar zijn om op tijd volledig conform te zijn, terwijl 25% aan het eind van dit jaar nog niet volledig conform zal zijn.
Als uw voorbereidingen voor de nieuwe wet dus nog steeds in uitvoering zijn, zou u troost kunnen putten in de wetenschap dat u zeker niet alleen bent. Dit betekent echter niet dat de autoriteiten het u gemakkelijk zullen maken wanneer zij uw organisatie controleren.
We weten dat dit allemaal heel stressvol klinkt, maar het is niet onze bedoeling om u in paniek te brengen. Onthoud dat AVG-zaken in orde brengen u gemoedsrust zal schenken. U zult ook kunnen teruggaan naar alle andere verantwoordelijkheden die horen bij het runnen van een bedrijf.
AVG-voorbereidingen zijn een zware klus. Hier zijn enkele dingen die u moet doen:
- een AVG-coördinatieteam opzetten
- een functionaris voor gegevensbescherming benoemen
- een nieuw intern privacybeleid opstellen en zorgen voor lokale naleving
- een nieuwe procedure voor inbreuk op gegevens opzetten
- procedures voor gegevensverwerking evalueren
- en nog veel, veel meer.
Een van uw belangrijkste taken is ook om te controleren of elke derde partij die toegang heeft tot de gegevens van uw gebruikers voldoet aan AVG.
De cijfers van Capgemini zouden u moeten vertellen dat u uw technische partners (leveranciers, verkopers, klanten of iemand anders waarmee u een soort van zakelijke alliantie hebt) moet aanspreken over naleving van AVG.
Bovendien moet u eraan denken dat u als gegevensverantwoordelijke rechtstreeks verantwoordelijk bent voor wat er gebeurt met gegevens die u van uw gebruikers hebt verzameld.
Raadpleeg deze handige infographic voor meer informatie over de taken van gegevensverantwoordelijken, gegevensverwerkers en de rechten van betrokkenen:
GDPR Data Subject Rights – What You Need to Know.
In deze blog willen we u praktisch advies geven over hoe u uw partners kunt beoordelen op naleving van AVG. Voor uw gemak hebben we het hele proces verdeeld in vier uitvoerbare stappen. Klinkt goed?
Super! Hier gaan we:
STAP #1: Breng elke derde partij die de persoonlijke gegevens van uw klanten en bezoekers verwerkt in kaart
Dit lijkt in eerste instantie gemakkelijk, maar laat u niet misleiden.
Onderzoek door ISACA toont aan dat de grootste uitdaging bij AVG-conformiteit het ontdekken en in kaart brengen van gegevens is (59% van de antwoorden).
Dit komt omdat de bedrijven van vandaag een uitgebreide hoeveelheid hulpmiddelen gebruiken.
Gegevens verzameld door Siftery geven aan dat topbedrijven vandaag gemiddeld 37 verschillende tools of softwareplatforms gebruiken om hun dagelijkse activiteiten uit te voeren.
De kans is groot dat veel van hen persoonsgegevens van uw gebruikers verwerken. Vooral omdat onder AVG de definitie van persoonlijke gegevens zelfs online identificaties en IP-adressen omvat.
Lees deze handleiding voor meer informatie over de kenmerken van persoonlijke gegevens:
PII, Personal Data or Both?
Nu zult u moeten controleren of elk van hen in naleving is met AVG.
Wat de taak nog moeilijker maakt, is het feit dat deze tools verspreid zijn over de hele organisatie. Hen vinden alleen al kan een grote uitdaging zijn. Daarom is het belangrijk om ervoor te zorgen dat elke afdeling van uw organisatie bij het proces wordt betrokken.
Dit maakt het veel gemakkelijker om een lijst te maken van elk stukje software dat uw bedrijf gebruikt.
STAP #2: Controleer de naleving van uw partners
Zoals we al eerder hebben gezegd, ga er nooit vanuit dat een zakenpartner conform AVG werkt, ook al zijn ze altijd al betrouwbaar geweest.
Recente gebeurtenissen hebben aangetoond dat veel beroemde bedrijven en organisaties te kort schieten.
Zie: Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR..
Daarom hebben we besloten om een nuttige lijst samen te stellen. Hier zijn drie signalen dat uw zakenpartner de taak aankan:
1) Ze hebben een functionaris voor gegevensbescherming toegewezen
Zoals u zeker weet, is het niet verplicht om een functionaris aan te stellen. In hoofdstuk 37 van de AVG staat echter dat een verwerkingsverantwoordelijke en de verwerker een functionaris moet benoemen als:
[…] een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast is met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.
Dit betekent dat als de dagelijkse activiteiten van een verwerkingsverantwoordelijke inhoudt dat ze het online gedrag van gebruikers volgen, ze zeker een aangewezen functionaris in hun structuur moeten hebben.
2) Ze hebben extra beveiligingsreferenties
Als uw partners offshore zijn gevestigd, is het ten zeerste aan te raden om deel te nemen aan het privacyschildraamwerk. Het is ook een goed teken als ze voldoen aan internationale beveiligingsnormen zoals ISO 27001. Als ze aan deze normen voldoen, weet u dat ze op zijn minst een basiskader voor gegevensbeveiliging hebben.
3) Ze kunnen een routekaart presenteren voor naleving van AVG
Uw functionaris of leden van een aangewezen AVG-team moeten in staat zijn om met de functionaris van uw partner te spreken en een duidelijk beeld krijgen van de stappen die zij hebben ondernomen om aan de nieuwe wet te voldoen.
Een van de belangrijkste dingen om naar te zoeken, is een raamwerk voor het beheer van verzoeken van betrokkenen. Als gegevensverantwoordelijke bent u verplicht ervoor te zorgen dat betrokkenen hun rechten kunnen uitoefenen.
Onder AVG heeft u 30 dagen om elk verzoek van een betrokkene te verwerken. Het is moeilijk te voorspellen hoe vaak gebruikers hun rechten zullen uitoefenen. Uw softwareleveranciers zouden echter een soort gestandaardiseerd mechanisme moeten ontwikkelen voor het verkrijgen, intrekken en verwijderen van gebruikersgegevens binnen hun systemen. Anders kunt u mogelijk geen zoekopdrachten bijhouden. Dit zou u blootstellen aan boetes wegens het niet uitvoeren van uw taken.
De meest voorkomende mythe over AVG
Aan de andere kant zijn er ook verschillende rode vlaggen waarmee u uw relatie met uw zakenpartner opnieuw moet bekijken:
1) Volgens hen heeft AVG geen invloed op hun bedrijf
Er zijn veel manieren waarop bedrijven de verantwoordelijkheden van AVG proberen te vermijden. Hier zijn enkele van de meest voorkomende valse verklaringen die u kunt horen bij het beoordelen van uw zakenpartner op naleving van AVG:
We verwerken geen persoonlijke gegevens of slaan geen persoonlijke gegevens op
Dat is waarschijnlijk niet waar. Artikel 4.1 van de Algemene Verordening Gegevensbescherming geeft deze definitie van persoonsgegevens:
[…] Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
De verordening breidt de definitie van persoonsgegevens van die in Richtlijn 95/46/EG aanzienlijk uit. Zo behandelt AVG online-identificatiegegevens en locatiegegevens als persoonlijke gegevens. Dit vereist dat ze op dezelfde manier worden beschermd als andere identificatiegegevens, zoals informatie over de genetische, economische of psychologische identiteit van een betrokkene. Bovendien omvat het cookies onder online-id’s.
AVG zegt dat alle cookies (inclusief pseudonieme) kunnen worden beschouwd als persoonlijke gegevens als er potentieel is om ze te gebruiken om een persoon te herkennen of te identificeren. Dit wordt gedetailleerd beschreven in grond 30 van de nieuwe wet:
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
We zijn niet EU-gebaseerd, dus we hoeven deze wet niet te gehoorzamen
Dat is ook niet waar. Houd er rekening mee dat AVG van invloed is op elk bedrijf dat zich bezighoudt met klanten uit de EU, niet alleen bedrijven in de Europese Unie. Als een bedrijf enige vorm van handel met klanten binnen de EU voert, zijn de AVG-regels op hen van toepassing als ze persoonsgegevens van EU-burgers of ingezetenen opslaan, verwerken of delen. Dit is ongeacht waar het bedrijf zich bevindt.
Meer nog, AVG introduceert aanvullende vereisten voor grensoverschrijdende gegevensverwerking. Ze staan in hoofdstuk 5 van de verordening.
2) Ze beweren dat ze AVG-gecertificeerd zijn
U moet weten dat er geen AVG-certificering bestaat. Tenminste nog niet.
Er is nog geen manier om een AVG-conformiteitscertificering te behalen om de eenvoudige reden dat er momenteel geen gemachtigde instelling of instantie is die deze certificering aanbiedt. Dat is de reden waarom, ondanks het feit dat veel bedrijven een soort AVG-training aanbieden, er vrijwel geen normen zijn voor dit soort certificering en wat er in het programma moet worden opgenomen.
Dit is de reden waarom u dit soort certificering absoluut niet als bewijs van naleving van de nieuwe wet moet beschouwen.
De vragen die u aan uw partner stelt, zullen ook grotendeels afhangen van het soort bedrijf dat ze hebben. Hier vindt u ook enkele tips waarmee u kunt bepalen of uw webanalyseverkoper u kan helpen bij het uitvoeren van uw taken:
How to be Sure Your Web Analytics Complies With the New Law.
STAP #3: Onderteken gegevensverwerkingsovereenkomsten met elk van hen
Het ondertekenen van een contract (gegevensverwerkingsovereenkomst) met uw gegevensverwerkers is een andere vereiste van AVG, zoals bepaald in artikel 28.
Als uw zakenpartner een redelijk bewijs heeft geleverd dat zij een niveau van privacy bieden dat geschikt is voor de gegevens van uw gebruikers, is het nu tijd om een gegevensverwerkingsovereenkomst met hen te ondertekenen.
In dit contract moeten de gegevens worden vermeld waartoe zij toegang hebben, de reikwijdte van het gebruik van die gegevens en eventueel bestaand nalevingsplan dat van kracht zou kunnen zijn. Onder AVG zijn de eisen van een dergelijk contract breder dan alleen het waarborgen van de beveiliging van persoonlijke gegevens. Ze zijn gericht op het waarborgen en aantonen van de naleving van alle voorschriften van de nieuwe verordening.
Als u niet bekend bent met gegevensverwerkingsovereenkomsten kan deze uiterst nuttige gids gemaakt door The Information Commissioner’s Office (ICO) van pas komen.
Hieronder volgt een fragment uit dit document, waarin experts van ICO alle belangrijke zaken opsommen die door een gegevensverwerkingsovereenkomst zouden moeten worden behandeld:
Contracten moeten het volgende uiteenzetten:
- het onderwerp en de duur van de verwerking;
- de aard en het doel van de verwerking;
- het type persoonsgegevens en categorieën van betrokkenen; en
- de verplichtingen en rechten van de verantwoordelijke.
Contracten moeten ook minimaal de volgende voorwaarden bevatten, waarbij de verwerker wordt verplicht om:
- alleen te handelen volgens de schriftelijke instructies van de verantwoordelijke;
- ervoor te zorgen dat mensen die de gegevens verwerken onderworpen zijn aan een plicht van vertrouwen;
- passende maatregelen te nemen om de beveiliging van de verwerking te waarborgen;
- alleen sub-verwerkers in te schakelen met de voorafgaande toestemming van de verantwoordelijke en op basis van een schriftelijke overeenkomst;
- de verantwoordelijke te helpen bij het verlenen van toegang tot de betrokkenen en de betrokkenen in staat stellen hun rechten uit hoofde van de AVGB uit te oefenen;
- de verantwoordelijke bij te staan bij het voldoen aan zijn AVG-verplichtingen met betrekking tot de beveiliging van de verwerking, de kennisgeving van persoonlijke gegevens
- overtredingen en gegevensbeschermingsimpacten te beoordelen;
- alle persoonlijke gegevens aan de verantwoordelijke te verwijderen of te retourneren zoals gevraagd aan het einde van het contract; en
- te onderwerpen aan audits en inspecties, de verantwoordelijke te voorzien van alle informatie die zij nodig hebben om te zorgen dat zij beide aan hun verplichtingen krachtens Artikel 28 voldoen, en de verantwoordelijke onmiddellijk op de hoogte te stellen als zij worden gevraagd iets te doen dat inbreuk maakt op de AVG of andere wetgeving inzake gegevensbescherming van de EU of een lidstaat.
Het is ook uiterst belangrijk om ervoor te zorgen dat niemand die uw gegevens verwerkt, deze deelt met een andere derde partij of deze op een andere manier gebruikt dan beschreven in de gegevensverwerkingsovereenkomst. Ze zouden het bijvoorbeeld niet moeten gebruiken om hun diensten of hun producten te verbeteren (zoals in het geval van Google)!
STAP #4: Houd uw ogen open en kijk wat de toekomst brengt
Conformiteit met de wet is niet iets dat voor eens en voor altijd vast ligt. Het is meer een continu proces van het beoordelen van uw bedrijf en uw zakelijke partners in het licht van nieuwe vereisten, en het grondig letten op wat de toekomst brengt.
Dit is met name het geval bij AVG – een raamwerk op zeer hoog niveau dat nog steeds wacht op meer praktische, gedetailleerde uitleg. De verordening betreffende privacy en elektronische communicatie, ook bekend als de e-privacyverordeningn, zal bijvoorbeeld veel gedetailleerdere eisen stellen voor elektronische gegevensverwerking. E-privacy moet echter in 2019 van kracht gaan en de definitieve tekst is nog steeds niet gepubliceerd (een recent concept is hier beschikbaar).
Bovendien kan elke lidstaat van de Europese Unie zijn eigen richtlijnen geven met betrekking tot AVG-conformiteit, of beginnen met het aanbieden van AVG-certificering. Zowel u als uw zakelijke partners moeten klaar staan om uw beleid en werkwijzen aan te passen aan dergelijke veranderingen.
Enkele conclusies
We hopen dat alle informatie die hierboven is gepresenteerd u enig inzicht heeft gegeven in het beoordelen van de naleving door elke partij van de toegang tot de persoonlijke gegevens van uw klanten. Maar als u nog meer vragen heeft of gewoon meer wilt weten over onze AVG-conforme producten, aarzel dan niet om contact op te nemen! Onze experts helpen u graag!