De Nederlandse ondernemer en zijn accountant zijn inmiddels grotendeels op de hoogte van het bestaan van privacywetgeving. Ook weet men dat er per 25 mei 2018 een verandering van de wetgeving van toepassing wordt in de vorm van een nieuwe Europese Verordening. Wat er gaat veranderen en hoe dit binnen organisaties het best kan worden aangepakt, is voor velen nog onduidelijk. Een korte receptuur voor de aanpak van de AVG binnen uw organisatie.
De belangrijkste oorzaak van de onduidelijkheid is de nieuwe wet zelf. De Algemene Verordening Gegevensbescherming (in het Engels: GDPR) is net als zijn voorganger, de Europese Richtlijn Gegevensbescherming[1], een wettekst met open normen. Er wordt dus wel een verplichting omschreven, maar niet hóe er aan die verplichting moet worden voldaan. De gedachte hierachter is dat niet elke onderneming hetzelfde (privacy)risico loopt. Daarnaast verschilt het per onderneming hoeveel geld er beschikbaar is om maatregelen te kunnen betalen. Er is dus met opzet vrijheid gegeven aan de ondernemer om de verplichtingen zelf in te vullen. Maar in de praktijk levert dat natuurlijk juist meer vragen en onduidelijkheid op. En dan ontbreekt ook nog eens een Memorie van Toelichting, zoals we die wel bij een normale wet kennen.
Praktische handvatten
De datum waarop zowel de accountant als zijn klant moeten voldoen aan de AVG komt snel dichterbij. Het is dus tijd voor praktische handvatten en uitleg van de open normen, om tijdig te kunnen voldoen aan de AVG. Hierna wordt een aantal quick wins beschreven; de minimale stappen op weg naar een AVG-proof organisatie. Maar graag eerst uw aandacht voor het meest gehoorde misverstand over de AVG/GDPR:
Toepasselijkheid: het misverstand
Ja, de AVG is ook van toepassing op accountants; op grote accountantskantoren, kleine accountantskantoren en op de zelfstandige accountant, boekhouder of fiscalist. De omvang van de onderneming is géén criterium voor toepassing van de AVG; iedere accountant, boekhouder of fiscalist verwerkt persoonsgegevens. Van klanten en al dan niet van personeel of sollicitanten. Nog even ten aanzien van de toepasselijkheid van de AVG bij uw klanten: de bedrijfsvorm (stichting, vereniging of vennootschap) doet niet terzake.
Hierna komen vier kernbegrippen aan de orde die van belang zijn in de context van de AVG: accountability, transparantie, beveiliging en rechten van betrokkenen. Bij elk kernbegrip wordt een kort stappenplan uitgewerkt. Zo krijgt u een indruk van wat u moet regelen en hoe u dit moet doen.
#1 Accountability: het register van verwerkingen
De AVG draait om een paar kernbegrippen, die soms in meerdere artikelen zijn verwerkt. Accountability, verantwoordingsplicht, is zo’n begrip. Een verantwoordelijke in de zin van de AVG moet aantoonbaar voldoen aan de wetgeving. Dit betekent een documentatieplicht; het aanleggen van een privacy-administratie, zodat aan de toezichthouder kan worden getoond dat de organisatie compliant is. De vraag is natuurlijk: hoe dan en wat?
- Stap 1. Maak een overzicht van het gebruik van persoonsgegevens binnen uw organisatie. In de AVG staat dit als een verplichting omschreven. De verplichting om een “overzicht van verwerkingen” te maken, de datastromen in kaart te brengen. Deze verplichting geldt niet voor organisaties met minder dan 250 werknemers. Toch is het voor elke organisatie aan te raden om een overzicht te maken, want de organisatie kan in feite niet zonder.
- Stap 2. Kies een overzichtsvorm die past bij de organisatie c.q. bij de personen die ermee moeten werken. De een is handig met Excel, de ander werkt beter met een tabel. Ook zijn er diverse data-inventarisatie tools op de markt.
- Stap 3. Vul het overzicht in. Dit kan op verschillende manieren. Het staat vast dat er een aantal onderwerpen in kaart gebracht moet worden (zie art. 30 AVG): het verwerkingsdoel, categorieën van betrokkenen en van persoonsgegevens, de ontvangers en waar deze gevestigd zijn, welke maatregelen zijn getroffen als de persoonsgegevens buiten de EER worden gebracht, bewaartermijnen en de beveiligingsmaatregelen. Hoe dit wordt verzameld, hangt af van de organisatie zelf. Soms werkt het goed om per (ict)systeem te inventariseren. Soms werkt het beter om per afdeling of bedrijfsproces te inventariseren. In ieder geval moet de datastroom gevolgd worden; u leeft zich dus even in alsof u zelf klant of werknemer bent bij uw eigen organisatie. De grondslag van de verwerking hoeft niet vermeld te worden, maar u zult deze wel moeten vermelden in een privacystatement of -beleid.
#2 Transparantie: informeren
Nieuw in de AVG is dat er precies wordt omschreven welke informatie moet worden verstrekt. Dit is veel – gedetailleerde en gestructureerde – informatie. Uit onderzoeken van de Autoriteit Persoonsgegevens is al gebleken dat heel grote organisaties (Microsoft, Facebook, Nike) die veel tijd en aandacht hadden besteed aan een privacystatement, dit toch niet juist, volledig of gestructureerd genoeg hadden gedaan. Dat zegt iets over de complexiteit. Dit heeft echter niet alleen effect op de verplichting om informatie te geven, maar kan ook effect hebben op de grondslag van de verwerking. Voor het verkrijgen van toestemming of een beroep op gerechtvaardigd belang (twee van de grondslagen voor verwerking van persoonsgegevens) is het verstrekken van de juiste informatie een vereiste. Kortom, besteed aandacht aan het privacystatement en privacybeleid. Bijvoorbeeld als volgt:
- Stap 1. Bepaal welk informatiedocument wordt opgesteld. Voor de klanten? Of voor de werknemers? In het laatste geval is dit ook het moment om contact op te nemen met de ondernemingsraad.
- Stap 2. Schrijf de inhoud van het privacystatement. De artikelen 13 en 14 van de AVG bevatten een letterlijke checklist van de informatie die moet worden vermeld. Het overzicht van verwerkingen komt nu heel goed van pas. Of gebruik een online tool voor het genereren van een privacystatement.
- Stap 3. Laat het privacystatement of privacybeleid nakijken door een professional. De tijd waarin met knippen en plakken een privacystatement kon worden opgesteld, is voorbij. Een echt privacystatement opstellen is maatwerk. De professional kan dan ook gelijk aangeven hoe, wanneer en waar het privacystatement of privacybeleid moet worden gebruikt.
#3 Beveiliging: wat en hoe?
Veel mensen denken dat privacy een ICT-feestje is. Dat klopt; voor de ICT’ers is de nieuwe privacywetgeving een feest. Mede geholpen door datalekken, ransomware en de bijbehorende reputatie- en bedrijfsschade worden eindelijk aanpassingen aan systemen doorgevoerd. In de AVG staan verschillende verplichtingen over beveiliging. De hoofdverplichting is (!) en wordt ‘het nemen van passende technische en organisatorische maatregelen om verlies, misbruik of aantasting van persoonsgegevens tegen te gaan’. De technische maatregelen worden in de AVG zelfs concreet benoemd: pseudonimisering en versleuteling, op permanente basis de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen kunnen garanderen, het vermogen om bij een incident de beschikbaarheid en toegang tot gegevens tijdig te herstellen en procedures om de getroffen maatregelen te testen, beoordelen en evalueren. En de organisatorische maatregelen? Die mag u zelf invullen. Bijvoorbeeld door de volgende stappen te nemen:
- Stap 1. Praat binnen de organisatie over de beveiliging van de bedrijfsgegevens in het algemeen. Dat praat makkelijker dan eerst uitzoeken wat nu persoonsgegevens zijn. Onderwerpen kunnen zijn: toegang, back-ups, wachtwoorden. De vragen die daarbij horen, zijn: wie kan er bij de gegevens? Leggen we dat vast? Wie kan er eigenlijk de bedrijfsruimte binnen? Is de tijdige intrekking van toegangsrechten geregeld? Wie kan er bij het systeem (thuis of op kantoor)? Maken we back-ups? Waar staan die? Hoelang duurt het voordat een back-up actief draait in noodgevallen? Kan de back-up ook op een ander systeem draaien in geval van ransomware? Waarvoor gebruiken we de gegevens? Heeft elk systeem een wachtwoord? Of log je ’s morgens 1x in? Gebruiken we een wachtwoordmanager (programma om meerdere wachtwoorden te managen)? Gebruiken we 2-factorauthenticatie voor systemen met bijzondere of gevoelige gegevens?
- Stap 2: Maak een beleid. Na het gesprek met elkaar is er hopelijk bewustzijn ontstaan. Dat maakt het gemakkelijker om beleid te maken. Ook wordt het gemakkelijker om een eventuelegedragsverandering door te voeren die in het beleid wordt voorgeschreven. Stel het beleid op en laat hier ten minste de volgende onderwerpen weer in terugkomen: toegang, back-ups, wachtwoorden. Dit kan per systeem, per afdeling of per datastroom. Met dit beleid toont u ook weer aan hoe u voldoet aan de AVG, dat u compliant bent.
- Stap 3. Maak een draaiboek datalekken. Een datalek moet binnen 72 uur worden gemeld aan de toezichthouder en/of worden gecommuniceerd aan betrokkenen. Dit is echt een heel korte termijn. Zorg er dus voor dat bekend is wat een datalek is, wie beslissingen neemt, welke informatie in een melding moet staan, waar die informatie binnen de organisatie te vinden is, welke boodschap de klanten krijgen (schakel nu alvast de marketing- en communicatiemanager in voor een standaardtekst). Als uitgangspunt kunnen de Beleidsregels Meldplicht Datalekken worden genomen (zie https://autoriteitpersoonsgegevens.nl).
- Stap 4. Implementeer het beleid en draaiboek datalekken. Dat hoeft niet heel ingewikkeld te zijn. Het gaat erom dat iedereen écht kennisneemt van de afspraken (dus niet alleen via intranet), weet wat erin staat en weet wat te doen. Dit kan door de situatie van een datalek na te spelen, gewoon aan de vergadertafel en daarbij het draaiboek te volgen. Of door grappige acties zoals het wijzigen van de taalinstellingen of de beeldschermweergave omdraaien,bij collega’s die de computer niet vergrendelen of afsluiten bij het verlaten van de werkplek.
#4 Rechten van betrokkenen: wat en hoe?
De betrokkenen, de personen wiens gegevens worden gebruikt, houden dezelfde rechten als nu en ze krijgen er zelfs een paar bij. De inhoud van deze rechten en de uitoefening ervan kent bepaalde grenzen. In sommige gevallen mag een verzoek om rechten uit te oefenen worden geweigerd. Over bepaalde rechten moet de betrokkene actief worden geïnformeerd. Als een betrokkene een recht uitoefent, moet er binnen korte termijn een reactie of actie volgen van de verantwoordelijke. Kortom, het is niet gemakkelijk om de rechten van een betrokkene op de juiste wijze te respecteren. Hoe gaat u hier mee om?
- Stap 1. Zorg voor een overzicht van de rechten van betrokkenen. Het gaat daarbij om: recht op inzage, recht op correctie, recht op dataportabiliteit, het recht om vergeten te worden, maar ook in bepaalde gevallen om het recht van verzet. Ga na of dit binnen uw organisatie (ook technisch) gerespecteerd kan worden.
- Stap 2. Check het privacystatement. Ga na of hierin vermeld staat welke rechten een betrokkene heeft en hoe u met verzoeken van betrokkenen omgaat.
- Stap 3. Maak een beleid. Schrijf letterlijk op wie een aanvraag in behandeling neemt, welke systemen geraadpleegd moeten worden, welke informatie mág en welke informatie moét worden verstrekt, wat de termijnen zijn, wanneer de termijnen verlengd kunnen worden en wanneer en om welke redenen een verzoek mag worden afgewezen. Dit is een vrij juridisch verhaal, dus als u er niet zelf uitkomt, vraag hulp. In deze fase komt de hulp neer op nakijken van uw beleid. Dat is nog betaalbaar. Vraagt u om hulp, omdat een betrokkene gaat klagen of procederen vanwege de onjuiste omgang met zijn rechten, dan komt u voor andere kosten te staan.
- Stap 4. Ook hier geldt weer: implementeer! Oefen een keer met een verzoek tot inzage of correctie. Wat gebeurt er binnen uw organisatie? Werkt het beleid? Zo niet, dan heeft u nog de kans om zonder vervelende consequenties het beleid aan te passen
Aan de slag
Bij een juiste en volledige implementatie van de AVG komt er nog veel meer kijken dan hier omschreven. Voor een volledige aanpak en implementatie van de AVG is een quickscan (nulmeting) nodig om de ontbrekende elementen in beeld te brengen. Vervolgens wordt een projectplan gemaakt en een team samengesteld om stappen uit te voeren. Voor de partijen die zelf aan de slag willen voordat het 26 mei 2018 is (en dus een dag te laat), hoop ik hier concrete handvatten te hebben aangereikt.Mr. Kirsten van der Zwan CIPP/E, Advocaat Ondernemings- en Privacyrecht bij Strauswolfs te Amsterdam en initiatiefnemer van www.privacy-advocaat.nl.
Neem nu een abonnement op het kwartaal printmagazine van Accountancy Vanmorgen met 50% korting in het eerste jaar. U betaalt het eerste jaar slechts € 24,75 i.p.v. € 49,50
Noten
[1] Geïmplementeerd in onze huidige Wet bescherming persoonsgegevens, Wbp.
noamconsult zegt
Om te beginnen : …..er heeft nog niemand zich gemeld…zo lijkt het.
Is een abonnement op AV toereikend ?
Er van uitgaande dat de relevante artikelen goed gelezen worden en de adviezen die verwoord zijn ook worden uitgevoerd.
Wie geeft daar antwoord op ?
En hoe krijgen wij te zien dat er nieuwe reacties zijn gekomen.
Waarom wordt dat aan al diegene die een reactie geven niet per email medegedeeld door AV . ??
nb. al enkele malen aan AV gevraagd / medegedeeld.