Voorkom boetes: werk veilig met persoonsgegevens
Dacht je net alles goed geregeld te hebben wat betreft de Wet bescherming persoonsgegevens (Wbp), loop je alweer achter de feiten aan door de komst van de Algemene Verordening Persoonsgegevens (AVG) die per 25 mei 2018 van toepassing is. Werk veilig met persoonsgegevens om straks aan de nieuwe privacyregels te voldoen en boetes te voorkomen.
Tijd dus voor een plan van aanpak! Laat je niet afschrikken door de complexiteit van de wetgeving rondom het werken met persoonsgegevens — voor iedere situatie zijn er passende oplossingen te vinden.
Wet bescherming persoonsgegevens
Voor alle websites, webapplicaties en mobiele apps waarin gegevens van gebruikers worden geregistreerd, geldt voor organisaties tot 24 mei 2018 de verplichting zich daarbij te houden aan de Wbp. Dit geldt ook wanneer je persoonsgegevens voor een ander bedrijf verwerkt.
Het gaat hierbij om persoonsgegevens als naam en inkomen, maar bijvoorbeeld ook om gezondheidsgegevens. Eigenlijk alle gegevens die iets over een specifiek individu vertellen. Of gegevens die de persoon een label geven. Hier vind je de exacte definitie en verschillende categorieën persoonsgegevens.
Geen vertrouwen in de Wbp
De Wbp is door de overheid in het leven geroepen om de burger het gevoel te geven dat er door bedrijven veilig en controleerbaar met hun gegevens wordt omgegaan. Zodat burgers hun gegevens durven achter te laten, ten behoeve van zichzelf en het bedrijfsleven. Uit onderzoek is echter gebleken dat de wet zijn doel niet bereikte: slechts 15% van de burgers evaart een gevoel van zeggenschap over hun gegevens (bron: ec.europa.eu). Ook blijken de regels omtrent bescherming van persoonsgegevens niet in heel Europa gelijk te zijn.
Nieuwe wet gegevensbescherming in 2018: de wet AVG
Op 25 mei 2018 wordt er daarom een nieuwe wet op het gebied van de bescherming van persoonsgegevens actief: de AVG (Algemene Verordening Gegevensbescherming). Met deze wet doet de overheid een groter beroep op de documentatieplicht van organisaties: zij moeten kunnen aantonen dat ze zich aan de wet houden en verantwoordelijk met persoonsgegevens omgaan. Ook zijn de privacyrechten aangescherpt.
Wanneer je als organisatie niet voldoet aan deze wet, kan hier een flink grote geldboete op volgen (tot 20 miljoen of 4% van de jaaromzet, aldus de Autoriteit Persoonsgegevens), evenals een verbod op het verzamelen van de gegevens.
Beter voorkomen dan genezen dus! 25 mei 2018 lijkt nog ver weg, maar op die datum moet je als organisatie aan de wet voldoen. De aanloopperiode, de tijd waarin je je als organisatie mag voorbereiden op de AVG, is dus nu! De Autoriteit Persoonsgegevens raadt alle bedrijven dan ook met klem aan om in 2017 de bedrijfsprocessen, applicaties, diensten en goederen binnen het bedrijf zorgvuldig onder de loep te nemen met betrekking tot privacy en beheersbaarheid van persoonsgegevens. Punten waarop je als bedrijf niet aan de AVG voldoet kunnen dan nog op tijd worden aangepast.
Checklist AVG
Om bedrijven de kans te geven zich goed voor te bereiden op de AVG is er door de Autoriteit Persoonsgegevens een checklist opgesteld. Deze bestaat uit 10 stappen. Daarnaast zijn er guidelines gepubliceerd. De informatie, stappen en guidelines van de AVG vind je hier. Bij het doornemen van deze stappen en guidelines komt een hoop leeswerk kijken. Sommige zaken vereisen een diepgaand inzicht in de werking van je applicaties en hoe (veilig) deze door medewerkers en burgers worden gebruikt.
Bij het doornemen van de teksten duizelt het je waarschijnlijk. Er wordt veel informatie gegeven, maar het is een uitdaging die te vertalen naar de praktische implicaties voor jouw bedrijf. Wij hebben daarom voor elke belangrijke stap van de AVG een aantal praktische voorbeelden en functionaliteiten op een rijtje gezet. Zo krijg je meer gevoel bij de te nemen stappen.
1. Recht van inzage
Dit recht valt onder stap 2 van de checklist AVG: de rechten van betrokken. Onder de AVG moet een burger in 2018 kunnen inzien welke informatie een bedrijf van hem of haar heeft vastgelegd. Deze mogelijkheid tot inzage moet elk bedrijf faciliteren.
Facebook heeft dit opgelost door binnen het platform een knop te bieden waarmee je als gebruiker je persoonlijke gegevens kan inzien. Ook kun je een archief downloaden waarin alle gegevens staan die je ooit met Facebook hebt gedeeld.
Bij gevoelige gegevens moet er extra goed nagedacht worden over de manier waarop je gebruikers inzage verleent. Denk bijvoorbeeld aan het Elektronisch Patiënten Dossier waar een arts mee werkt. Een burger mag hierin altijd zelf inzage hebben, maar gezien de aard van de gegevens doe je dit liever niet met een ‘self service’ hulpmiddel zoals de knop in Facebook. Patiënten wordt aangeraden hun dokter te verzoeken om inzage en uitleg terwijl ze in de behandelkamer zijn (bron: Patientenfederatie).
Wanneer je veel gegevens verzamelt en/of met gevoelige data werkt, vereist dit recht op inzage dus een oplossing op maat in je software die past bij je doelgroep en het type gegevens dat je verzamelt.
2. Recht om vergeten te worden
Ook dit recht valt onder stap 2 van de checklist AVG en geeft burgers het recht om de organisatie te vragen al hun gegevens te verwijderen. Dat klinkt misschien eenvoudig, maar in de praktijk is het vaak behoorlijk complex en zien wij dat veel websites en apps geen knop hebben waarmee een gebruiker zich volledig uit het systeem kan verwijderen. En denk bijvoorbeeld ook aan de complicaties die dit geeft voor je back-up procedure. Wanneer een gebruiker zichzelf namelijk verwijdert en je die avond een backup terugzet van de dag ervoor, dan staat diezelfde persoon weer in het systeem. Hier moet je dus een strategie voor bedenken en implementeren.
3. Passende beveiliging
Onder de AVG wordt de eigenaar van de website of applicatie verantwoordelijk gesteld voor een passende beveiliging (hij mag deze verantwoordelijkheid uiteraard wel uitbesteden, maar moet dit dan wel contractueel vastleggen). Als eigenaar van een site of app kan het verstandig zijn met de ontwikkelaar en een jurist te praten om te bespreken of de beveiliging van de applicatie en de bescherming van de persoonsgegevens voldoende is en aan de AVG voldoet.
Denk hierbij ook na over het technisch juiste veiligheidsniveau voor je software. Het maakt daarbij natuurlijk nogal uit of je telefoonnummers van klanten moet beschermen of diens medische gegevens.
4. Administratie persoonsgegevens
Dit recht wordt beschreven in stappen 3, 4 en 5 van de checklist AVG. In veel websites en applicaties worden gegevens oneindig lang bewaard. Onder de AVG mag je gegevens niet langer bewaren dan voor het doel noodzakelijk is. Dit kun je op verschillende manieren interpreteren, maar het vereist in elk geval een actieve administratie van de persoonsgegevens. Zo kan je bijvoorbeeld logfunctionaliteit laten inbouwen, waarmee je kan zien wie er al meer dan een jaar niet meer actief is geweest. Het systeem checkt het log op een afgesproken tijd en stuurt de betreffende mensen een waarschuwing dat hun account verwijderd zal worden als ze niet binnen twee weken inloggen. Volgens de procedure verwijdert het systeem vervolgens twee weken later alle mensen die nog steeds de status ‘1 jaar inactief’ hebben.
Voor elke organisatie geldt hierbij: bouw ook management-checks in op de naleving van de procedures op de werkvloer. Voor sommige organisaties is het aanstellen van een functionaris voor gegevensbescherming zelfs verplicht (stap 6 van de checklist AVG). Geen overbodige luxe, want onze ervaring is dat de meeste beveiligingsfouten niet ontstaan door de software, maar door menselijke fouten.
5. Toestemmingsplicht
Dit recht valt onder stap 10 van de checklist AVG. Anders dan onder de Wbp, moet je als bedrijf onder de AVG kunnen aantonen dat je een geldige toestemming voor het verwerken van iemands gegevens hebt gekregen. Het woord ‘geldig’ is hierbij van groot belang. Immers, als je gegevens van kinderen verwerkt, is de toestemming van het kind zelf niet voldoende: als bedrijf moet je dan toestemming hebben van minimaal één van de ouders, voordat je de gegevens van het kind mag verwerken.
Het vereist dus een gedegen kennis van de AVG en veel aandacht voor je bedrijfsprocessen om straks goed voorbereid te zijn op de wet AVG. Natuurlijk hoef je dit niet allemaal alleen te doen. Techniek kan je hierin faciliteren en is altijd nauwkeuriger dan een mens ooit zal zijn!
Werk je met zeer gevoelige persoonsgegevens zoals data over gezondheid, geaardheid, religie of politieke overtuiging? Of werk je bijvoorbeeld met gegevens van kinderen en wil je niets aan het toeval overlaten? Daarin zijn wij gespecialiseerd. Niet voor niets ligt onze passie in het bouwen van websites en apps met maatschappelijke relevantie! Wij denken graag met je mee.