Nieuw wapen tegen datalekken: Checkjedatalek.nl

Databeveiliging, en dan met name de beveiliging van persoonsgegevens, is op dit moment echt een ‘hot item’. In mijn ICT-praktijk zie ik veel bedrijven die nu pas echt bewust worden van het feit dat zij in mei 2018 aan de vele regels van de Algemene verordening Gegevensbescherming (AVG) moeten voldoen. Veel bedrijven hebben hun privacy-contracten nog niet op orde. Bijna elke dag krijg ik wel vragen over privacyvraagstukken; het onderwerp leeft enorm. 

Checkjedatalek.nl

Samen met Gert-Jan Voogsgeerd en Michel Snitjer (beiden ICT-bedrijf Office in a Box) en notaris Jan-Hein Brummelhuis (Notariskantoor Brummelhuis) heb ik Checkjedatalek.nl opgericht, een unieke samenwerking van juridische en ICT-professionals. Samen slaan we de handen ineen om zo organisaties in duidelijke en praktische taal voor te lichten over de complexe (Europese) privacywetgeving. 

De AVG

Op 25 mei 2018 zal de Algemene verordening Gegevensbescherming (AVG) van toepassing zijn. De huidige Wet Bescherming Persoonsgegevens geldt dan niet meer.

De AVG verandert het juridisch kader voor de bescherming van persoonsgegevens ingrijpend. DE AVG introduceert nieuwe begrippen, nieuwe concepten, versterkt de rechten van betrokkenen (de mensen van wie gegevens worden verwerkt) en bevat uitgebreide nieuwe verplichtingen voor het bedrijfsleven. Daarnaast introduceert de AVG aanzienlijke boetes van maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet van een organisatie.

Door strenge voorschriften gecombineerd met hoge boetes, is het verstandig dat bedrijven in een vroeg stadium al op de hoogte zijn van de inhoud van de AVG en zich daarop voorbereiden. Checkjedatalek.nl helpt u hier graag bij!

In het kader van de Europese privacywetgeving dient u onder meer de volgende vragen na te lopen en te beantwoorden: 

Overeenkomsten check

• Heeft u verwerkersovereenkomsten? Wat is de inhoud van uw software- en licentieovereenkomsten? Hoe luidt de Service Level Agreement (SLA) gesloten met het ingeschakelde IT-bedrijf?

Onder de AVG bent u verplicht om een overeenkomst aan te gaan met iedere verwerker van persoonsgegevens. Een verwerker is een derde die binnen uw organisatie persoonsgegevens opslaat of in kan zien of kan wijzigen (bijvoorbeeld de salarisadministratie of een door u ingeschakeld IT-bedrijf).

Hoe zijn de rechten geregeld binnen uw organisatie? Wie kan welke persoonsgegevens zien? Heeft u de bewaartermijnen van de persoonsgegevens contractueel goed geregeld? 

• Heeft u de ‘registration flow’ om rechtsgeldige toestemming te krijgen op orde?

Toestemming tot verwerking van persoonsgegevens is onder de AVG niet zomaar gegeven. U dient te kunnen aantonen dat u rechtsgeldig toestemming van betrokkenen heeft gekregen om hun persoonsgegevens te mogen verwerken. Bovendien hebben betrokkenen het recht om de gegeven toestemming te allen tijde in te trekken.

 Interne protocollen check

• Wie is als Functionaris voor Gegevensbescherming binnen uw organisatie aangewezen?

De AVG verplicht u namelijk in de meeste gevallen een persoon aan te wijzen binnen uw organisatie die als een soort interne toezichthouder optreedt.

• Heeft u de verwerking van persoonsgegevens al goed in kaart gebracht binnen uw organisatie? Welke persoonsgegevens worden er binnen uw organisatie verwerkt en voor welke doelen?

De AVG verplicht u namelijk duidelijk uw gegevensverwerking te hebben omschreven. Bovendien kan bij een hoog privacy-risico een DPIA, een ‘gegevensbeschermingsbeoordeling’ verplicht zijn. Daarbij is het handig een register van gegevensverwerking aan te leggen.

• Heeft u een privacy policy?

Onder de AVG dient u betrokkenen te informeren over de verwerking van persoonsgegevens. Die informatie dient beknopt, begrijpelijk en transparant te zijn.

• Hoe rapporteert u een datalek? Heeft u een protocol en register datalekken? Heeft u een personeelshandboek?

Onder de AVG kunt u verplicht zijn om een datalek te melden bij de bevoegde autoriteit en/of aan betrokkenen. Bij een datalek gaat het om vernietiging of toegang, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is. U dient onder de AVG de te nemen maatregelen bij een datalek in een protocol vast te leggen. Verder dient u onder de AVG alle datalekken te documenteren in een register.

Conclusie

Samenvattend kan gezegd worden dat er sprake is van vrij complexe privacywetgeving waarbij het voor u van belang is tijdig uw (juridische) zaken op orde te hebben. Heeft u vragen of wilt u verdere informatie dan kunt u contact opnemen met mr. Paul Arentshorst, lid van de Praktijkgroep IE & ICT-recht.

Deze blog is met aandacht en zorgvuldigheid geschreven, maar bevat informatie van algemene en informatieve aard. De informatie in de blog kan, afhankelijk van de omstandigheden van uw specifieke geval, niet of verminderd van toepassing zijn. De informatie in de blog dient derhalve niet als juridisch advies te worden beschouwd. Daniels Huisman aanvaardt dan ook geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit de blog.