In 10 stappen uw organisatie privacy-bewust

10.10.2017

‘Vertrouwelijke e-mails gestolen bij hack Deloitte’. ‘Persoonsgegevens 95.000 leden ANWB op straat na datalek’. ‘Datalek Instagram treft miljoenen gebruikers’. Met enige regelmaat sieren dergelijke koppen het nieuws. Er is meer aandacht voor persoonsgegevens, zowel bij de overheid als bij de media. Een datalek betekent dus reputatieschade, maar ook een risico op een boete.

Met de komst van een nieuwe verordening over persoonsgegevens (de AVG, of ook GDPR genoemd) wordt in Nederland breed aandacht gevraagd voor persoonsgegevens. Dienstverleners spelen in op het gevoel van urgentie en bieden allerlei services aan. Vooral het risico op torenhoge boetes (maximaal 20 miljoen Euro of 4% van de wereldwijde omzet) zou moeten nopen tot actie.

Is dat gevoel van urgentie terecht? De AVG zorgt maar op een paar gebieden voor nieuwe regels. Het overgrote deel is al lang bestaand recht, maar daar is tot dusver weinig aandacht voor geweest. Doordat veel instellingen minder aandacht hebben gehad voor privacy, persoonsgegevens en beveiliging van persoonsgegevens, is meestal wel actie noodzakelijk.   

Welke actie(s) moet u dan ondernemen? De Autoriteit Persoonsgegevens heeft op haar site een ’10 stappenplan’ gepubliceerd. In dat plan zijn de aandachtspunten genoemd die voor ieder bedrijf (kunnen) gelden. Dit stappenplan geeft een basis om vóór 25 mei 2018, de dag waarop de AVG in werking treedt, in overeenstemming met de AVG te handelen. De stappen zijn (kort gezegd):

  1. Bewustwording (bij beleidsmakers en management)
  2. Waarborgen rechten van betrokkenen (instellen van procedures over bijvoorbeeld inzagerecht)
  3. Opstellen overzicht verwerkingen (waar zijn er persoonsgegevens en waarom)
  4. Uitvoeren Data Privacy Impact Assessment (privacyrisico’s onderzoeken, niet altijd van toepassing)
  5. Toepassen van Privacy by design/default (privacy als uitgangspunt bij het aanpassen/ontwikkelen van ieder product)
  6. Aanstellen functionaris Gegevensbescherming (soms verplicht, mag vrijwillig, maar niet altijd van toepassing)
  7. Opstellen procedure Meldplicht Datalekken (procedure inzake documentatie van datalekken of soortgelijke incidenten)
  8. Controleren bewerkersovereenkomsten (overeenkomst met ondernemingen die persoonsgegevens voor u verwerken, denk aan uw gegevens in de cloud, uw accountant etc.)
  9. Vaststellen leidende toezichthouder (van toepassing bij meerdere Europese vestigingen)
  10. Vastleggen toestemming (indien u op deze basis gegevens verwerkt)

Het stappenplan is te downloaden via: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf

Bij de vetgedrukte stappen is kennis van privacywetgeving een pré. Van den Herik & Verhulst Advocaten heeft die kennis en kan u adviseren over bijvoorbeeld de ‘grondslag’ van verwerkingen, de vraag wanneer een datalek gemeld moet worden, het beoordelen of opstellen van een bewerkersovereenkomst, het vaststellen van bewaartermijnen van persoonsgegeven en allerlei aanverwante vragen.

De vraag of u een datalek moet melden kan opeens actueel worden voor u. U kunt plotseling geconfronteerd worden met een datalek. Een datalek moet, als dit meldingsplichtig is, binnen 72 uur gemeld worden, ook nu al. Overleg met een advocaat (geheimhouder) is dan van groot belang om vertrouwelijk te bepalen wat de juiste stappen zijn.