We komen er niet onder uit: 25 mei 2018 treedt de AVG wetgeving in werking, ten koste van de huidige Wbp wetgeving. De Algemene Verordening Gegevensbescherming (AVG), internationaal beter bekend als General Data Protection Regulation (GDPR) heeft onder meer als gevolg dat afwegingen en maatregelen omtrent bescherming van persoonsgegevens, beter gedocumenteerd moet worden.
AVG, verwerker en verantwoordelijke in praktijk
Enige introductie in de terminologie is praktisch. Om direct met de deur in huis te vallen: de verantwoordelijke betreft de opdrachtgever. Diegene die opdracht geeft tot het (laten) bouwen van een applicatie waarin persoonsgegevens voor kunnen komen, is bij wet verantwoordelijke. Een verwerker is de organisatie waarbij persoonsgegevens onder ogen zouden kunnen komen.
Ter illustratie: wanneer je een kapperszaak hebt, heb je wellicht een website. Deze website heeft een contactformulier en Google Analytics is aanwezig. Het contactformulier slaat ingevulde data op in de website, te benaderen via een admin-panel.
Zowel bezoekersinformatie, als ook gegevens welke ingevuld kunnen worden in het contactformulier, zullen persoonsgegevens zijn, in die zin dat bepaalde data (voor- & achternaam, emailadres, ipadres) terug te herleiden is tot een persoon.
- Tussen de opdrachtgever en webbureau die verantwoordelijk is voor de bouw, zal een verwerkersovereenkomst aangegaan moeten worden. Het webbureau heeft immers toegang tot de database en wellicht admin-panel, en kan dus ingevulde formulieren inzien;
- Tussen de opdrachtgever en wellicht een marketing bureau welke toegang heeft tot de Google Analytics account, zal een verwerkersovereenkomst opgesteld moeten worden omdat de marketing bureau bezoekersgegevens in kan zien;
- Tussen de opdrachtgever en hosting bureau zal ook een dusdanige overeenkomst opgesteld moeten worden. Het hosting bureau wordt ook als verwerker gezien, doordat ze immers toegang hebben tot de servers waar de database-informatie gehost wordt;
- Is er ook sprake van een afsprakenmodule via een externe oplossing, dan zal ook daar vanuit de opdrachtgever een verwerkersovereenkomst aangegaan moeten worden. In praktijk zal bij gebruik van diensten van derden, akkoord geven op een checkbox volstaan (mits voldaan aan enkele vereisten).
Veel zaken zijn niet nieuw. Bijvoorbeeld, vraag niet meer informatie op dan nodig (geboortedatum of kenteken opvragen binnen een contactformulier klinkt vrij overbodig). Vraag je bovendien af hoe lang je data bewaart, en waarom je het voor een bepaalde periode bewaart. De manier waarop het vastgelegd gaat worden onder de AVG ofwel GDPR wet, zal wel nieuw zijn.
Op basis van bovenstaand voorbeeld, zal het voor zich spreken dat de implicaties en een register en documentatie in het geval van applicaties of webshops meer voeten in de aarde gaat hebben dan wanneer we het over een website hebben. Echter, bovenstaand illustreert dat de aankomende AVG wetgeving ook reeds de nodige aandacht zal vragen bij de bouw van een website. Ook een website dient AVG compliant te zijn.
Zelf direct aan de slag met de AVG documentatieplicht? AVG Cloud Register
Datalekken en overtreding
Eindbeslissingen zullen altijd bij de verantwoordelijke en dus opdrachtgever liggen (waar verzuim bij een verwerker wellicht tot een uitzondering zal leiden). Is er sprake van een datalek, geconstateerd door een verwerker? Dan zal de verwerker dit moeten melden bij de verantwoordelijke. Het is vervolgens aan de verantwoordelijke, om het binnen 72 uur na constatering van een datalek te melden bij de Autoriteit Persoonsgegevens.
De Autoriteit Persoonsgegevens bekleed geen adviserende rol. Is er sprake van een datalek waarbij (bijzondere, zoals medische of voorkeur gerelateerde) gegevens nog intact zijn (bijvoorbeeld, laptop met toegang tot een database ontvreemd, of accountgegevens met toegang tot cursisten openbaar gemaakt), dan zullen de betrokken personen op eigen initiatief geïnformeerd moeten worden door de verantwoordelijke. Ook dus als de datalek bij een andere partij dan de opdrachtgever/verantwoordelijke ligt.
Bij een audit vanuit Autoriteit Persoonsgegevens of gewoonweg door de opdrachtgever (frequentie valt vast te leggen middels de verwerkersovereenkomst) is het zaak dat je verwerkersovereenkomsten kunt overleggen, als ook een register van verwerking van persoonsgegevens. Afwegingen, keuzes of in de wind geslagen privacy adviezen zullen hierbij gedocumenteerd moeten worden, en dus ook aangetoond moeten kunnen worden.
Boetes zijn overigens niet mals, tot 20 miljoen euro voor kleine tot middelgrote organisaties, of tot 4% van de wereldwijde omzet voor grote organisaties. Hieronder vallen een KPN of een LinkedIn, waarbij een eventuele boete bij overtreding van de AVG boven de 20 miljoen euro uit zouden kunnen komen.
AVG-compliant
De kern gaat dus zijn: het is de verantwoordelijkheid van de opdrachtgever (immers, verantwoordelijke) om met AVG compliant bedrijven/organisaties in zee te gaan, en technieken of maatregelen die moeten voorzien in persoonsbescherming te documenteren. Ook wanneer je bewust een advies of best practice naast je neer legt als verantwoordelijke, of bewust niet met een AVG compliant organisatie in zee gaat, zul je moeten documenteren om welke redenen je tot zo een beslissing bent gekomen.
Bijvoorbeeld:
- Waarom is er ondanks advies vanuit het webbureau, niet gekozen voor Two Factor Authenticatie voor accounthouders met inzage in persoonsgegevens?
- Dropbox heeft in tegenstelling tot Amazon aangegeven niet mee te werken aan verwerkersovereenkomsten en zullen dus niet AVG compliant zijn. Vanaf 25 mei 2018 zal er vanuit de verantwoordelijke/opdrachtgever dus een goede reden moeten zijn om documenten met persoonsgegevens op Dropbox op te slaan zolang ze bij deze beslissing blijven.
Afhankelijk van je website, webapplicatie of diensten gaat het wat voeten in de aarde hebben. Online is uiteraard genoeg te vinden omtrent de AVG/GDPR wetgeving. Binnen Blue 2 Blond ben ik aangesteld als Functionaris Gegevensbescherming (FG). Voor huidige en toekomstige opdrachten zullen de gevolgen in kaart worden gebracht en worden vraagstukken vanuit ons netwerk omtrent de AVG wetgeving beantwoord.
Ter aanvulling hebben we 31 oktober 2017 de eerste ICT-wetgeving seminar omtrent de AVG wetgeving bijgewoond, waarin de rolverdelingen als ook praktijkvoorbeelden aan bod kwamen. Voor de kenners zijn we links, 2e rij op de 3e en 4e stoelen te herkennen op de betreffende foto.
Is uw organisatie reeds AVG-proof, of reeds paraat om het in gang te zetten? En wat is hierin volgens bovenstaande terminologie uw rol?