Voldoet jouw ICT aan de eisen van de AVG?

Klantenbestand

Houd je een klantenbestand bij? Of een personeelsadministratie? Dan verwerk je persoonsgegevens en moet je je houden aan de eisen van de Algemene Verordening Gegevensbescherming. Denk hierbij al aan het verzamelen, wijzigen  en opslaan van (persoons-) gegevens zoals voor- en achternamen. Wanneer gegevens gaan over personen die je kunt onderscheiden van andere personen, spreken we van het verwerken van geïdentificeerde persoonsgegevens.

Verwerker of verwerkingsverantwoordelijke?

Aan welke regels je je moet houden hangt af van jouw rol in de gegevensverwerking.  Bepaal jij dat er gegevens verwerkt worden, dan ben je verwerkingsverantwoordelijke. Verwerk je gegevens in opdracht van iemand anders, dan ben je verwerker. Je kunt voor dezelfde verwerking niet tegelijkertijd verwerkingsverantwoordelijke én verwerker zijn (Ministerie van Justitie en Veiligheid, 2018).

Regels voor de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke mag alleen data verwerken als dat rechtmatig, behoorlijk en transparant is. Gegevensverwerking is rechtmatig als de verwerkingsverantwoordelijke duidelijk kan maken met welk doel hij gegevens verwerkt, mits dit doel valt binnen één van de zes grondslagen die worden genoemd in de AVG. Naast rechtmatig moet gegevensverwerking ook behoorlijk en transparant zijn. Daarvoor moet je als verwerkingsverantwoordelijke o.a. voldoen aan de registerplicht en op verschillende manieren zorgen voor de veiligheid van de persoonsgegevens.

Regels voor de verwerker

Als verwerker verwerk je persoonsgegevens in opdracht van de verwerkingsverantwoordelijke, en moet je zorgen dat je schriftelijke instructies van de verwerkingsverantwoordelijke opvolgt. Alle afspraken die de verwerkingsverantwoordelijke met je maakt, staan in de verwerkersovereenkomst. Voor zowel de verwerkingsverantwoordelijke als de verwerker geldt de registerplicht, de plicht om een overzicht van alle verwerkingen bij te houden. Verwerkers mogen doorgaans alleen ingeschakeld worden door de verwerkingsverantwoordelijke, maar hebben enkele plichten als het gaat om de bescherming van persoonsgegevens (bijvoorbeeld de meldplicht bij datalekken).

Meldplicht datalekken

Het komt regelmatig voor dat data onrechtmatig wordt verkregen door hackers, of dat werknemers (bedoeld of onbedoeld) data openbaar maken. Sinds de inwerkingtreding van de AVG geldt een meldplicht voor dergelijke datalekken. Ieder datalek moet sinds 2016 worden gemeld bij de Autoriteit Persoonsgegevens, en bij de betrokkene als het datalek een hoog risico voor de betrokkene inhoudt. Daarnaast ben je verplicht om datalekken te documenteren zodat ze op een later tijdstip inzichtelijk zijn.

Conclusie – voorlopig soepele handhaving

Omdat nog niet alle bepalingen in de AVG zijn uitgekristalliseerd, wordt er voorlopig nog niet streng gehandhaafd. Het belangrijkste is dat je kunt laten zien dat je er alles aan gedaan hebt om te voldoen aan de eisen van de AVG, ongeacht in welke branche je werkzaam bent. De Tweede Kamer heeft een motie aangenomen om versoepeld te handhaven en eerst een waarschuwing te geven voordat er een boete wordt uitgedeeld.  Dit betekent echter niet dat je als ondernemer rustig achterover kan leunen. Zorg er als organisatie voor dat je stappen onderneemt om GDPR-proof te worden en documenteer al je inspanningen, zodat je (indien nodig) kunt laten zien er alles aan gedaan te hebben om aan de AVG te voldoen.

Let wel: de bovengenoemde test is om jou, als ondernemer, een idee te geven van de huidige stand van zaken binnen jouw onderneming m.b.t. de AVG/GDPR. En geldt NIET als vervanging voor juridisch advies omtrent de implementatie van de AVG/GDPR binnen jouw organisatie. Voor meer informatie over de AVG/GDPR verwijs ik je graag naar de website van de Rijksoverheid, het Ministerie van Justitie en Veiligheid.

Geschreven door: Mitch