Hopelijk heb je al eens van de AVG (Algemene Verordening Gegevensbescherming) gehoord. Deze is namelijk op 24 mei 2016 in werking getreden, en wordt vanaf 25 mei 2018 ook daadwerkelijk gehandhaafd. Deze handhaving houdt in dat er vanaf 25 mei 2018 sancties (lees: boetes) opgelegd kunnen worden.

Voorheen hadden de landen in de Europese Unie verschillende wet- en regelgeving omtrent privacy. In Nederland hadden wij de Wbp (Wet bescherming persoonsgegevens). De Wbp vervalt per 25 mei 2018. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.

Wat verandert er?

De AVG versterkt de positie van de betrokken (ofwel, de personen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden versterkt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om aan te kunnen tonen dat zij (en hun leveranciers) zich aan de wet houden.

Hoe bereid je je voor?

1. Bewustwording
Zorg ervoor dat de relevante mensen in je organisatie goed op de hoogte zijn van de nieuwe privacyregels. Zij moeten een inschatting maken wat de impact van de AVG is op je huidige processen en diensten en welke aanpassingen er nodig zijn om aan de AVG te voldoen.

2. Rechten van de betrokkenen
Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. Zorg er daarom voor dat als er door een betrokkene gebruik gemaakt wordt van een van de rechten, je daarop voorbereid bent. Dit zijn naast de bestaande rechten, zoals het recht op inzage, het recht op correctie en het recht op verwijdering (recht om vergeten te worden) ook nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat de betrokkene zijn gegevens makkelijk kan verkrijgen en vervolgens kan doorgeven aan een andere organisatie als hij dat wil.

3. Overzicht verwerkingen
Breng je gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Onder de AVG heb je een documentatieplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt.

Je kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of te verwijderen, dan moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.

4. Bewerkersovereenkomst
Heb je je gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Controleer dan of de overeengekomen maatregelen in het bestaande contract met de bewerker nog steeds toereikend zijn en voldoen aan de vereisten in de AVG.

De volgende onderwerpen moeten vastgelegd zijn in de overeenkomst (bron: Autoriteit Persoonsgegevens):

  • Algemene beschrijving
    Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en jouw rechten en verplichtingen als verwerkingsverantwoordelijke.
  • Instructies verwerking
    De verwerking vindt in principe uitsluitend plaats op basis van jouw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
  • Geheimhoudingsplicht
    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
  • Beveiliging
    De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten en regelmatige beveiligingstesten.
  • Subverwerkers
    De verwerker schakelt geen subverwerker(s) in zonder jouw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker, in een subverwerkersovereenkomst, dezelfde verplichtingen op als de verwerker richting jou heeft.

In de overeenkomst kun je ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting jou voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

  • Privacyrechten
    De verwerker helpt je om te voldoen aan jouw plichten, als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
  • Andere verplichtingen
    De verwerker helpt je ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een privacy impact assessment (PIA) en bij een voorafgaande raadpleging.
  • Gegevens verwijderen
    Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan jou terug, als je dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
  • Audits
    De verwerker werkt mee aan jouw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

Een verwerkersovereenkomst sluit je af met elke leverancier die gegevens van je verwerkt. Ook met de leverancier die alleen de gegevens opslaat (zoals een datacenter) moet een verwerkersovereenkomst afgesloten worden.

5. Toestemming
Je gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de wijze waarop je toestemming vraagt, krijgt en registreert. Pas deze indien nodig aan. Je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Wat je verwerkt, welk doel het heeft en of je de gegevens deelt met derden, beschrijf je in een privacy statement. Het moment waarop je toestemming hebt verkregen en de versie van het privacy statement dat op dat moment van toepassing was, wordt daarbij opgeslagen.
Het moet overigens voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

6. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

En hoe bereid Measuremail zich voor?

Measuremail heeft al vanaf haar oorsprong een scherpe blik op informatiebeveiliging. Zo vinden we dat onze systemen optimaal moeten worden beveiligd, dat je nooit meer gegevens bij ons moet toevoegen dan nodig is, is een bewerkersovereenkomst al jaren standaard bij het aangaan van een samenwerkingen en vinden we dat iedereen een persoonlijk account moet gebruiken (zonder extra kosten). Ook kun je bij opt-ins de gegevens opslaan die relevant zijn voor je bewijslast zoals de versie van je privacy statement, de voorwaarden en oorsprong van de opt-in. Om dit expliciet zichtbaar te maken hebben we al jaren het Privacy Waarborg en sinds kort ook het ISO 27001:2013 certificaat.

Wil je nog meer weten over de AVG en de impact voor jouw organisatie? Wij organiseren graag een kennissessie over dit onderwerp. Heb je interesse, mail dan naar marketing@measuremail.com.