Per 25 mei treedt de wet AVG (Algemene Verordening Gegevensbescherming) in werking, ook wel aangeduid met de Engelse term GDPR (General Data Protection Regulation). De laatste in een lange rij van privacywetten, want daar draait het om: de bescherming van persoonsgegevens en daarnaast de regulering van het vrije verkeer van persoonsgegevens binnen de EU. Het idee is dat gegevens binnen de EU vrijelijk kunnen stromen doordat de AVG daar overal een gelijk niveau van bescherming garandeert.

Persoonsgegevens, betrokkenen

De AVG definieert persoonsgegevens als 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke personen'. Deze natuurlijke personen zijn de betrokkenen. Met ALLE informatie wordt ook echt alles bedoeld! Alle gegevens die herleidbaar zijn tot een persoon vallen daaronder. Bijvoorbeeld:

  • Naam, adres, geboortedatum, titulatuur, geslacht
  • E-mailadres, telefoonnummer, zakelijk adres, huisadres
  • Werkgever, functie, leidinggevende, personeelsnummer
  • Loopbaan, opleidingen, competenties
  • Medische dossiers
  • Antwoorden, klachten, meningen, publicaties
  • Inhoud van e-mails, surfgedrag(!)
  • Login namen, wachtwoorden
  • IP adressen ,tracking cookies, RFID nummers, MAC-adressen
  • enz...

Verwerking

De AVG definieert het begrip 'verwerking' als volgt: 'een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens (zie boven) of een geheel van persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens'. Bent u er nog?

Uit bovenstaande blijkt dat er dus al heel gauw sprake is van verwerking van persoonsgegevens.

Zowel U, als CNE zijn verwerkers van persoonsgegevens.

 

Verantwoordelijke

In de AVG staat het volgende over de (verwerkings-) verantwoordelijke:

  • De verantwoordelijke is degene die 'het doel van en de middelen voor de verwerking vaststelt'.  In de relatie tussen U als klant en CNE bent U in dit geval de verantwoordelijke
  • De verwerker is degene die 'ten behoeve van de verantwoordelijke' persoonsgegevens verwerkt. In de relatie tussen U als klant en CNE zijn zowel U als CNE verwerker.

Omdat wij ook uw eigen gegevens verwerken (dus niet die van uw relaties, maar die van uzelf, als klant van CNE) zijn wij de verantwoordelijke als het gaat om uw persoonsgegevens en in dier voege verantwoordelijk voor de bescherming daarvan.

Gezamenlijke verantwoordelijkheid

U bent als verantwoordelijke voor uw (klant-) gegevens zelf verantwoordelijk voor de bescherming ervan. Maar omdat u uw gegevens toevertrouwt aan de systemen die door ons worden beheerd en/of systemen die van ons zijn (cloud servers, cloud telefooncentrales, cloud backup), is er sprake van een gedeelde verantwoordelijkheid. Wij moeten samen er voor zorgen dat de persoonsgegevens die wij samen 'verwerken' afdoende beschermd zijn en wij moeten dat ook (samen) kunnen aantonen.  Dit word de 'accountability' genoemd.

Volgens de AVG moet U zorg dragen en bent u verantwoordelijk voor onderstaande, waarbij de uitvoering ligt bij CNE, als verwerker:

  • De pseudonimisering en versleuteling (encryptie) van persoonsgegevens
  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen
  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

 De juridische termen laten zich vertalen in:

  • Versleuteling van gegevens (bestanden, databases), versleuteling van credentials (login namen en wachtwoorden) en versleuteling van verbindingen. Al deze zaken worden reeds door CNE toegepast
  • Het redundant uitvoeren van servers, stroomvoorzieningen, dataverbindingen en opslagsystemen. Al deze zaken worden door CNE reeds toegepast in het CNE datacenter en zoveel mogelijk on-premise.
  • Backup- en recoveryprocedures. Deze worden toegepast in het CNE datacenter en zoveel mogelijk bij onze klanten on-premise. De backup procedures zijn vastgelegd in een document 'Procedures netwerk- en systeembeheer CNE datacenter'. Het onderdeel backup bevat de tekst in het kader onderaan deze pagina
  • Het testen van backup- en recovery procedures. Deze backup- en recoverytesten worden uitgevoerd in het CNE datacenter en incidenteel bij klanten on-premise. Dit is een aandachtspunt voor de komende periode.

 Er zijn ook verschillende privacy gerelateerde zaken waarop wij geen invloed op hebben en waar u dus volledig zelf voor verantwoordelijk bent. Een aantal belangrijke punten:

  • Privacy by default. U dient uw gegevens op te slaan op de meeste beschermende manier. Dat kunt u doen door bijvoorbeeld alleen toegang tot persoonsgegevens te verstrekken voor personen die daar ook echt toegang toe moeten hebben. Dat kunt u ook doen door alleen noodzakelijke persoonsgegevens op te slaan c.q. beschikbaar te stellen aan anderen. Als het niet nodig is om een geboortedatum op te slaan, doe dat dan ook niet.
  • U dient gegevens die u niet meer behoeft te verwerken te verwijderen.
  • U dient maatregelen te nemen waardoor gegevens niet kunnen worden gecompromitteerd. Denk daarbij aan de volgende zaken:
    • Bescherming van pc's en andere devices tegen virussen en andere malware
    • Bescherming van pc's en andere devices tegen pottenkijkers (bv een schermbeveiliging als uw medewerker van zijn/haar plaats is)
    • Bescherming van pc's en andere devices tegen installatie van software door eindgebruikers
    • Actieve monitoring van uw netwerk en de daarop aangesloten devices
    • Fysieke bescherming van de locatie waar er toegang is tot persoonsgegevens
    • Instructie en training van medewerkers hoe om te gaan met cybercrime zoals phishing, installatie van software en zo meer

Verwerkingsregister

Als verantwoordelijke voor en verwerker van de persoonsgegevens van uw relaties dient u volgens de AVG een verwerkingsregister bij te houden. In dit verwerkingsregister moet staan/moet worden bijgehouden:

  • De naam en contactgegevens van uw organisatie en van uw FG (Functionaris Gegevensbescherming)
    • De FG of DPO (Data Protection Officer) heeft als taak om toe te zien op de uitvoering van de AVG. Hij/zij moet onafhankelijk en dus bij voorkeur geen lid zijn van het MT. Verplicht is deze functie niet. Details zijn nog niet goed bekend.
  • De naam en contactgegevens van eventuele medeverantwoordelijken
  • De verwerkingsdoeleinden (waarom worden de persoonsgegevens verwerkt)
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van de persoonsgegevens. Dat kan ook één categorie zijn.
  • De categorieën van ontvangers (waaronder verwerkers) aan wie de gegevens zijn of worden verstrekt. Dat is bv CNE voor de categorie 'hosting' of 'systeembeheer' of bv een verzekeraar wanneer u tussenpersoon bent.
  • Informatie over doorgifte aan andere landen.
  • De beoogde bewaartermijn van gegevens. Bijvoorbeeld: 'zolang de betrokkene klant is en 3 maanden nadat hij geen klant meer is'.
  • Een beschrijving op hoofdlijnen van hoe de gegevens beveiligd zijn (zie hierboven)

Meldingsplicht datalekken

De AVG omschrijft een datalek als volgt:

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Die inbreuk kan per ongeluk zijn: Uw medewerker mailt een bestand met persoonsgegevens naar een verkeerde ontvanger. Maar het kan ook met opzet zijn: Een hacker die gegevens steelt, een boze bijna-ex-medewerker die op zijn laatste werkdag een kopie van de database meeneemt.. Het gaat in principe om iedere beveiligingsbreuk. Dus ook een datagijzeling door ransomware valt hieronder.

U bent verplicht om binnen 72 uur het datalek te melden aan de AP (Autoriteit Persoonsgegevens).

Verwerkingsovereenkomst

Omdat CNE ICT Professionals een verwerker is van de persoonsgegevens waarvoor u verantwoordelijk bent, moeten wij een verwerkersovereenkomst met elkaar afsluiten. Ook dat is vastgelegd in de AVG. Begin 2018 zullen we al onze klanten deze overeenkomst doen toekomen. Nieuwe klanten krijgen deze overeenkomst automatisch.
Uiteraard zullen we u tijdig informeren.

AVG Audit: Een nulmeting

Als u wilt weten waar uw organisatie nu staat op het gebied van persoonsgegevensbescherming is een objectieve nulmeting nodig. Hierbij wordt niet alleen gekeken naar de vastlegging en bescherming van persoonsgegevens, maar ook naar de juridische kant van de zaak: Voldoen uw Algemene Voorwaarden aan de nieuwe AVG wet, zijn uw procedures conform de nieuwe wet, zijn uw geheimhoudingsverklaringen op orde...

saskialang
Mr. Saskia Lang (Langblok advocaten, Amstelveen) heeft zich gespecialiseerd in de nieuwe AVG wetgeving. Samen met de ICT deskundigen van CNE ICT Professionals is zij in staat om een audit (nulmeting) te verrichten voor uw organisatie. Het resultaat van deze gebundelde nulmeting wordt vastgelegd in een dossier en voorzien van aanbevelingen. Dat kunnen zowel ICT gerelateerde als juridisch gerelateerde aanbevelingen zijn.

Desgewenst kunnen de aanbevelingen ook door Langblok advocaten en/of door CNE ICT Professionals worden uitgevoerd.

Het tarief van deze gebundelde nulmeting is afhankelijk van de omvang van uw organisatie.

Meer weten? Neem contact op met Peter van Nijen of met Saskia Lang

gantry-media://cne/klanten/Amstelveen_logo.jpg
gantry-media://cne/klanten/es_100_100.png
gantry-media://cne/klanten/Engels.png
gantry-media://cne/klanten/Flexis_logo_small.png
gantry-media://cne/klanten/HFB-logo.png
gantry-media://cne/klanten/MariaTailor-Logo_small.png
gantry-media://cne/klanten/VVV_logo.jpg
gantry-media://cne/klanten/Vita_Amstelland.png
gantry-media://cne/klanten/ccigroep.png
gantry-media://cne/klanten/hansellogo.jpg
gantry-media://cne/klanten/logo-crohill.jpg
gantry-media://cne/klanten/sas.png
gantry-media://cne/klanten/FlowFrightLogo.png
gantry-media://cne/klanten/logo_bieb.png
gantry-media://cne/klanten/snoeks.png
gantry-media://cne/klanten/wissing.png
gantry-media://cne/klanten/haarlem.png
gantry-media://cne/klanten/logo-greuter-logistic-solutions-173-19.png
gantry-media://cne/klanten/Stedelijk_logo_small.png
gantry-media://cne/klanten/logo.gif
gantry-media://cne/klanten/Participe-logo_fc1.jpg
gantry-media://cne/klanten/provast.png
gantry-media://cne/klanten/Just-Brands-Logo_small2.jpg
gantry-media://cne/klanten/pvdbosch.png
gantry-media://cne/klanten/kokon.png
gantry-media://cne/klanten/igc.png
gantry-media://cne/klanten/oa-logo.png
gantry-media://cne/klanten/team_italia.png
gantry-media://cne/klanten/timpaan-logo.png
gantry-media://cne/klanten/rokatec.png
gantry-media://cne/klanten/vawo.png
gantry-media://cne/klanten/studyflow.png
gantry-media://cne/klanten/logo-esa-aalsmeer.png
gantry-media://cne/klanten/BoekestijnKester-1.png
gantry-media://cne/klanten/coc-logo_small.png
gantry-media://cne/klanten/aps-logo.png
gantry-media://cne/klanten/sushitime.png
gantry-media://cne/klanten/logo_nicw.png
gantry-media://cne/klanten/dps-services.png
gantry-media://cne/klanten/Matchez_logo.jpg
gantry-media://cne/klanten/grandhotelbeatrix_small.png
gantry-media://cne/klanten/versterking-1.jpg