Hoe je ervoor zorgt dat je bedrijf voldoet aan de AVG - en wat er gebeurt als je dat niet bent

Anders Bryde Thornild
By: Anders Bryde Thornild AVG | 5 januari

 


Wat is de GDPR/AVG?

In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van de EU in werking getreden. Het is een wettelijk kader dat richtlijnen geeft voor het verzamelen en verwerken van persoonsgegevens. Het doel is om consumentenrechten te beschermen door ervoor te zorgen dat websites, openbare instellingen en bedrijven een reeks regels volgen wanneer ze informatie over particulieren verwerken. 

Er is niet één eenvoudige oplossing om AVG-proof te worden. Vrijwel alle organisaties verwerken een of andere vorm van persoonsgegevens en veel medewerkers moeten dagelijks met persoonsgegevens omgaan. Daarom is het belangrijk om duidelijke richtlijnen te hebben en ervoor te zorgen dat iedereen weet wat hij/zij moet doen. Hier is een lijst met dingen om ervoor te zorgen dat je bedrijf goed op weg is. Als je de AVG niet volgt, kan dit leiden tot enorme boetes - de maximale boete is 20 miljoen euro of 4% van je wereldwijde jaaromzet.  

Je bedrijf moet op de hoogte zijn van de AVG-regels

De eerste stap om te voldoen aan de AVG regels, is ervoor te zorgen dat iemand in je bedrijf begrijpt waar de AVG over gaat. De AVG is gebaseerd op 7 principes die als basis kunnen worden gebruikt om te begrijpen waarom en hoe er met persoonlijke gegevens moet worden omgegaan. De principes worden gebruikt om het belangrijkste idee achter de AVG te benadrukken en om enkele methoden te ontdekken die je kunnen helpen bij je dagelijkse taken, zoals gegevensminimalisatie.

Het benadrukt ook het belang van het hebben van een wettelijke basis voor het verwerken van persoonlijke gegevens, wat betekent dat je een geldige reden moet hebben om de persoonlijke gegevens van mensen te verwerken, en dit kan worden gedaan met toestemming, zoals je vaak op websites ziet

Nu moet je deze principes nemen en ze in actie omzetten.  


7 GDPR Principles - Infographic

Zorg ervoor dat je weet wie verantwoordelijk is - dit kan een Data Protection Officer (DPO) zijn 

Het kan een uitdaging zijn om doelen te bereiken en de 7 principes te implementeren als er geen aangewezen persoon of team is die verantwoordelijk is om de organisatie AVG-proof te maken.

Hoewel je collega's degenen zijn die dagelijks met persoonsgegevens omgaan, is het toch belangrijk om iemand te hebben die ervoor zorgt dat iedereen weet wat hij/zij moet doen en bij wie hij/zij terecht kan bij twijfel. De verantwoordelijkheid kan worden gedeeld in een team, in kleine bedrijven kan het een van de leiders zijn of het kan een Data Protection Officer (DPO) zijn die als enige taak ervoor zorgt dat je bedrijf voldoet aan de AVG.

Er is geen one-size-fits-all oplossing omdat het afhangt van de organisatiestructuur in je bedrijf. Het is misschien een beetje overdreven om in een kleine start-up een aangewezen DPO te hebben, maar er is ook een mogelijkheid dat het onduidelijk wordt wie wat moet doen als de verantwoordelijkheid door te veel mensen wordt gedeeld. Het is ook mogelijk om de rol uit te besteden aan een extern bedrijf. Het belangrijkste is dat jullie het allemaal eens zijn over wie de leiding heeft over de AVG en dat je medewerkers weten aan wie ze vragen kunnen stellen. 

 

CTA_e-book_blog-desktop

 

Je hele team moet weten hoe om te gaan met persoonlijke gegevens

Weten wie in je bedrijf verantwoordelijk is voor de AVG is op zich niet voldoende, aangezien al je medewerkers tot op zekere hoogte individueel met persoonlijke gegevens omgaan. Daarom is het belangrijk dat iedereen in de organisatie een basiskennis heeft van hoe er met persoonsgegevens moet worden omgegaan.

Dit wil niet zeggen dat iedereen een expert moet zijn, maar het is wel belangrijk dat je medewerkers goed begrijpen wat persoonsgegevens zijn en hoe ze er veilig mee om kunnen gaan. Hieronder vindt je enkele voorbeelden van zaken die je medewerkers moeten weten:  

  • Wat zijn persoonsgegevens 
  • Wat wordt beschouwd als gevoelige persoonsgegevens 
  • Of je al dan niet een wettelijke basis hebt voor het verwerken van persoonsgegevens 
  • Hoe er met de verschillende soorten persoonsgegevens moet worden omgegaan 
  • Wat te doen als je een datalek ontdekt 
  • Wie om hulp vragen bij twijfel  

Er zijn veel manieren om het bewustzijn te vergroten en je teamleden voor te lichten over gegevensverwerking. Seminars, cursussen en bewustwordingstrainingen zijn allemaal geweldige manieren om ervoor te zorgen dat iedereen een goed begrip heeft van veilige gegevensverwerking. Het is belangrijk om te onthouden waarom educatie over gegevensverwerking als een prioriteit moet worden gezien, aangezien fouten van werknemers nog steeds een van de meest voorkomende reden is voor datalekken.  

 

De 8 basisrechten van de AVG van Betrokkenen (de gebruiker)

De AVG zorgt ervoor dat we de rechten van de betrokkenen naleven. Hier is een korte beschrijving van de 8 rechten die elk individu heeft. 

1. Recht van inzage

Dit betekent dat elk individu het recht heeft om toegang te krijgen tot zijn/haar persoonsgegevens. Ze hebben ook het recht om te weten hoe de organisatie het gebruikt. 

2. Het recht om vergeten te worden 

Dit betekent dat consumenten kunnen eisen dat hun persoonlijke gegevens worden verwijderd als ze niet langer toestemming geven of als ze geen klant meer zijn. 

3. Recht op gegevensoverdraagbaarheid

Individuen hebben het recht om hun gegevens over te dragen van de ene serviceprovider naar een andere serviceprovider. 

4. Recht op informatie  

Individuen moeten worden geïnformeerd over de gegevens die worden verzameld en ze moeten de mogelijkheid hebben om zich aan en af te melden.  

5. Het recht om informatie te laten verzamelen  

Alle personen hebben het recht om hun gegevens te laten bijwerken als deze onjuist, onvolledig of verouderd zijn.  

6. Recht om de verwerking te beperken 

Alle personen hebben het recht om de verwerking te beperken. Dit betekent dat ze ervoor kunnen kiezen om bedrijven toe te staan gegevens voor sommige, maar niet voor alle doeleinden te gebruiken.  

7. Recht van bezwaar

Alle individuen hebben het recht om bezwaar te maken en te eisen dat bedrijven en overheidsinstanties stoppen met het gebruik van hun gegevens zonder uitdrukkelijke toestemming, bijvoorbeeld voor direct marketing. 

8. Het recht om op de hoogte te worden gesteld 

Als een datalek waarschijnlijk een hoog risico met zich meebrengt, heeft de betrokkene het recht om onmiddelijk op de hoogte te worden gesteld.  

 

Maak duidelijke richtlijnen om ervoor te zorgen dat de AVG-regels worden gevolgd

Het belang van verantwoord delegeren en het opleiden van je team over gegevensverwerking is cruciaal en moet daarom zo snel mogelijk gebeuren. Een manier om je team te helpen is door duidelijke richtlijnen op te stellen voor gegevensverwerking, dit is iets waar je team gemakkelijk toegang toe heeft als ze onzeker zijn over onbekende situaties. Het hebben van een duidelijke set richtlijnen zorgt er ook voor dat processen rond gegevensbeveiliging in je hele organisatie worden gestroomlijnd. Als gevolg hiervan kunnen de richtlijnen helpen om je cyberbeveiliging sterker te maken en het risico op beveiligings- en datalekken te verkleinen.  

Hier zijn enkele documenten en richtlijnen die je voor je bedrijf zou kunnen maken. 

IT-beveiligingsbeleid - zorg ervoor dat het algemene kader klopt 

Het creëren van een IT-beveiligingsbeleid zorgt ervoor dat je bedrijf een algemeen kader heeft over hoe te werken met cyberbeveiliging. Het stelt verschillende doelen. Het geeft ook aan wie verantwoordelijk is voor het bereiken van deze doelstellingen en wie verantwoordelijk is voor het algehele cyberbeveiligingswerk. Het beleid wordt op strategisch niveau gemaakt en het zet de toon voor het cyberbeveiligingswerk in je organisatie, wat ook helpt bij het voorkomen van datalekken. Je kunt onze gratis template en handleiding bekijken voor het maken van een IT-beveiligingsbeleid. 

Beleid voor Acceptabel Gebruik - maak concrete en bruikbare regels en richtlijnen

Zoals eerder vermeld, is het IT-beveiligingsbeleid het strategische kader voor de cyberbeveiliging en bescherming van persoonlijke gegevens, terwijl het Beleid voor Acceptabel Gebruik praktischer en actiegerichter is, vandaar de naam. Het is het document waarmee je je doelstellingen in de praktijk kunt brengen door middel van richtlijnen en regels die je medewerkers kunnen volgen. Het is belangrijk om te onthouden dat de lijst met regels niet te lang en complex mag zijn, omdat dit ertoe kan leiden dat werknemers gedemotiveerd raken, wat contraproductief zou zijn. Het Beleid voor Acceptabel Gebruik moet gemakkelijk te begrijpen en te volgen zijn en aansluiten bij je einddoel om de cyberbeveiliging binnen je organisatie te versterken. We hebben een gratis template en handleiding voor het maken van een beleid voor acceptabel gebruik. 

 

Wat zijn Persoonsgegevens?

Persoonsgegevens zijn gegevens die kunnen worden gebruikt om een specifieke persoon te identificeren. Het bevat informatie zoals naam, adres, kenteken, een sollicitatie of een foto van een tatoeage. Als persoonsgegevens als gevoelig worden aangemerkt, vereist de AVG een hoger beveiligingsniveau. 

Algemene Persoonsgegevens 

   - Naam

   - Mobiel nummer

   - Geboortedatum

   - Beroep

   - Adres

Gevoelige persoonsgegevens 

   - Ras of etnische afkomst

   - Politieke of religieuze overtuigingen 

   - Vakbondslidmaatschap 

   - Genetische gegevens / biometrische gegevens (bijv. vingertoppen) 

   - Gegevens over gezondheid 

   - Seksuele relaties of geaardheid 

Doe een risicoanalyse om erachter te komen wat de toekomst biedt 

Wat gebeurt hierna?  

Het vage maar juiste antwoord is: het hangt ervan af.  

Aangezien alle bedrijven anders zijn, is het daarom onmogelijk om te zeggen waar je je inspanningen op het gebied van cyberbeveiliging en AVG op moet richten.

Wat je volgende stap moet zijn, hangt af van verschillende factoren, waaronder het type gegevens dat je verwerkt, de systemen die je gebruikt en wat de mogelijke gevolgen zouden zijn als er een beveiligingsinbreuk zou zijn. Om een weloverwogen beslissing te nemen over je volgende stappen, kan het een goed idee zijn om een risicoanalyse uit te voeren om een beter inzicht te krijgen in wat je organisatie nodig heeft op het gebied van beveiliging en bescherming. Een risicoanalyse heeft tot doel een overzicht te geven van de soorten dreigingen waar je organisatie mogelijk vatbaar voor is, het schat ook de kans op dreigingen in en wat de gevolgen van dergelijke dreigingen voor je organisatie kunnen zijn.

Natuurlijk moeten bedreigingen die zich vaker voordoen en mogelijk schadelijker zijn, eerst worden aangepakt. Bedreigingen kunnen variëren van het klikken van je werknemers op phishing-links tot het verzenden van gevoelige persoonlijke gegevens naar iemand die deze niet zou moeten ontvangen. Je kunt onze gratis template voor risicoanalyse gebruiken om al je bedrijfsbedreigingen in kaart te brengen. 

Houd er rekening mee dat het risicoanalyseproces onder de ISO-normen niet op dezelfde manier wordt uitgevoerd als onder de AVG. 

Creëer een goed proces voor het werken met AVG met de Plan-Do-Check-Act-cyclus 

Zoals je misschien al geraden had, is er geen snelle oplossing voor AVG, het is een continu proces. Je bent nooit helemaal klaar, omdat er in de loop van de tijd nieuwe uitdagingen zullen ontstaan. Je kunt niet verwachten dat je je team gewoon regels voorlegt, dat ze ze elke keer perfect volgen en dat het vanaf dat moment een soepel proces is. Het is belangrijk dat je een goed proces hebt waarmee je de systemen en richtlijnen kunt beoordelen, evalueren en bijsturen waar nodig. Dit zal helpen om je gegevensverwerking in de loop van de tijd soepeler en veiliger te maken. 

Een manier om dit te doen is om de Plan-Do-Check-Act-cyclus (PDCA) te gebruiken, een iteratieve methode die ervoor zorgt dat: 

  1. Je een reeks doelen opstelt en een plan maakt om deze te bereiken  
  2. Je het plan volgt en het werk doet 
  3. Je het werk evalueert om te zien of je je doelen hebt bereikt 
  4. Je handelt naar het resultaat om ervoor te zorgen dat je jezelf en de organisatie blijft verbeteren 

Je kunt gecertificeerd worden om naleving aan te tonen 

Als het gaat om AVG en je bent een gegevensverwerker, is het belangrijk om te onthouden dat de gegevensbeheerder je moet controleren. Dit betekent dat je formeel moet documenteren dat je persoonsgegevens verwerkt in overeenstemming met de AVG. Vaak resulteert dit in een groot aantal vragen heen en weer, wat tijdrovend kan zijn.  

Als dit een ongemak voor je blijft vormen, kan het de moeite waard zijn om je te laten certificeren of een beveiligingsaudit te laten uitvoeren. Beide kunnen een manier zijn om te laten zien dat je je inzet voor goede praktijken als het gaat om informatiebeveiliging en gegevensverwerking. Dit is misschien niet voor iedereen weggelegd, omdat het relatief duur kan zijn om gecertificeerd en gecontroleerd te worden, en het veel werk vereist, daarom moet je grondig overwegen of het geschikt is voor je terwijl je tegelijkertijd de AVG volgt.  

Veel certificeringen en rapporten om uit te kiezen 

Er zijn veel certificeringen en normen waarmee je rekening moet houden als het gaat om AVG- en cyberbeveiligingswerk. Sommige zijn AVG-specifiek, terwijl andere dat niet zijn, maar toch nuttig kunnen zijn.  

Hieronder vindt je een lijst met certificeringen die je mogelijk in overweging wilt nemen:  

  • ISAE 3000 AVG-rapport 
  • ISO 27701-certificering 
  • ISAE 3402 rapport 
  • ISO 27001-certificering 

Ze kunnen allemaal worden gebruikt om AVG-compliance aan te tonen, maar ze zijn niet hetzelfde. 

ISAE 3000 wordt vaak gebruikt in de AVG 

Een manier om auditorverklaringen of certificeringen in je AVG-werk te gebruiken, is door een ISAE 3000-auditorverklaring te verkrijgen, ook wel een ISAE 3000 AVG-rapport/verklaring genoemd. Het doel is om te beoordelen of je voldoet aan de verantwoordelijkheid als gegevensverwerker. Als je wordt gecontroleerd en de ISAE 3000-verklaring ontvangt, kun je deze aan de verwerkingsverantwoordelijken laten zien, zodat je kunt bewijzen dat je persoonsgegevens verwerkt zoals vereist door de regels.  

ISO 27701 is een nieuwe certificering voor de AVG 

In 2019 presenteerde de internationale ISO-organisatie een nieuwe norm: de ISO 27701. Velen zijn bekend met de ISO 27001, die in de volgende sectie verder zal worden uitgelegd, maar de ISO 27701 is een nieuwe certificering. De niet zo pakkende naam voor de certificering is “Beveiligingstechnieken – Uitbreiding naar ISO/IEC 27001 en ISO/27002 voor privacy-informatie – Eisen en richtlijnen”.  

De certificering geeft aan of je voldoet aan de AVG. Dus op papier klinkt het als de perfecte certificering voor ons allemaal. Maar feit is dat de certificering nog vrij nieuw is en we moeten eerst zien hoe deze in de praktijk presteert voordat we concrete conclusies kunnen trekken. Het zou een combinatie kunnen zijn tussen de ISAE 3000 en ISO 27701, iets dat nodig is, maar we leren nog steeds gaandeweg. 

Je kunt ISO 27001-gecertificeerd of ISAE 3402-beveiligingsaudit krijgen

Ondanks dat ISAE 3000 het meest AVG-specifieke rapport is en ISO 27701 de meest AVG-specifieke certificering, kijken velen naar ISAE 3402 en ISO 27001. De ISAE 3402 is een gedegen verklaring die gericht is op rapportage en financiële transacties en wordt vaak gebruikt om de dagelijkse operaties en leveringen in de IT veilig en degelijk te laten verlopen – en kan daarom worden gebruikt voor AVG en cyberbeveiliging. ISAE 3402 is gebaseerd op het raamwerk ISO 27001. De ISO 27001 is een norm die bedrijven helpt bij het beveiligen van waardevolle en persoonlijke gegevens. Het doel is om een sterke informatiebeveiliging te creëren. 

Aangezien dit een behoorlijk zwaar onderwerp is, zullen we je hier niet belasten met de diepgaande kennis. In plaats daarvan kun je onze uitgebreide gids bekijken over wat ISO 27001 en ISAE 3402 zijn en waar je rekening mee moet houden voordat je erin duikt. 

ISAE 3000 versus ISAE 3402 

Oké, maar wat is het verschil tussen de twee en waarom gebruiken mensen beide? Nou… Het korte antwoord is dat de ISAE 3000 typisch gaat over gegevens en hoe deze te beschermen en daarom past het binnen de reikwijdte van de AVG.  

De ISAE 3402 daarentegen gaat over processen en fysieke omstandigheden. Het gaat erom ervoor te zorgen dat er geen downtime is op servers, er back-ups zijn als gegevens worden verwijderd en dat er procedures zijn voor bewerkingen zoals back-ups, logging, stroom enz. Het kan ook een belangrijke rol spelen bij het beveiligen van persoonsgegevens; het heeft echter een veel groter bereik dan dat. 

Beveiligingsinbreuken zijn vaak menselijke inbreuken 

Datalekken komen wel eens voor. We zijn allemaal mensen en mensen maken fouten, vooral wanneer we haast hebben of als we ons niet volledig bewust zijn van de impact van onze acties. Statistieken van het Deense agentschap voor Gegevensbescherming (Datatilsynet) tonen aan dat de belangrijkste reden achter beveiligingsinbreuken was dat e-mails naar de verkeerde ontvanger werden gestuurd.

Een ogenschijnlijk kleine fout, maar toch een inbreuk op de beveiliging, aangezien persoonlijke gegevens in verkeerde handen kunnen komen wanneer ze naar de verkeerde mensen worden gestuurd, die ze onder geen enkele omstandigheid mogen verwerken of er toegang toe mogen hebben.

Dit onderstreept niet alleen het belang om ervoor te zorgen dat teamleden zich bewust zijn van de risico's bij het omgaan met gegevens, maar ook hoe moeilijk het is om datalekken te voorkomen. Een van onze kerndoelen als cyberbeveiligingsbedrijf is het verminderen van het aantal beveiligingsinbreuken veroorzaakt door medewerkers. Daarom richten we ons zo sterk op bewustwordingstrainingen en phishing-trainingen

Voorkom sancties en boetes 

Er zijn veel regels en voorschriften die moeten worden gevolgd bij het beheren van een beveiligingsinbreuk, maar een van de eerste dingen die je moet onthouden wanneer een beveiligingsinbreuk optreedt, is om de inbreuk te documenteren en je lokale toezichthoudende autoriteit uiterlijk 72 uur nadat de inbreuk is ontdekt op de hoogte te stellen. Je moet een geldige reden hebben om hen niet binnen 72 uur op de hoogte te stellen. De meeste beveiligingsinbreuken zijn van nature niet ernstig genoeg om tot boetes en sancties te leiden. Als je als organisatie over de juiste processen beschikt en over het algemeen je best doet om persoonsgegevens te beschermen, hoef je je misschien niet veel zorgen te maken. Als alternatief, als je niet het initiatief hebt genomen om de AVG te volgen en niet op de hoogte bent van richtlijnen rond gegevensbeveiliging, kun je in een minder dan ideale situatie terechtkomen. Het beveiligingsniveau dat nodig is bij het behandelen van rechtszaken, is iets waar we nog steeds over leren, omdat de dingen voortdurend evolueren en de regels van land tot land verschillen. Als je leest over  het soort datalekken dat wordt beboet, kun je het niveau voor je AVG-werk bepalen. 

Gegevensbescherming is een continu proces 

Zoals we hebben besproken, is AVG-proof zijn niet zo eenvoudig als het lijkt. Er is geen plug-and-play-oplossing om AVG-compliant te worden. De bovenstaande stappen zouden je moeten helpen om uit te zoeken wat de opties voor je organisatie zijn, maar het is belangrijk om te begrijpen dat het voldoen aan de AVG een continu proces is en dat de uitdagingen van bedrijf tot bedrijf verschillen. Het is normaal om moe en overweldigd te worden door alles in één keer op te lossen, dus probeer het in plaats daarvan stap voor stap te doen.

Begin met het meest impactvolle wat je kunt doen, en werk je er dan doorheen. 

Houd de AVG-uitspraken in de gaten - de richtlijnen veranderen voortdurend 

Tot slot wil ik nog wijzen op hoe belangrijk het is om alle uitspraken die we zien over de AVG in de gaten te houden. Hoewel het al sinds 2018 bestaat, is het nog steeds een nieuwe verordening, dus het veld verandert voortdurend, zoals we zagen met de Schrems II-uitspraak, wat betekende dat het Privacy Shield-raamwerk niet langer een geldige basis was voor het verwerken van persoonlijke informatie in de Verenigde Staten. We hebben een heel jaar moeten wachten op nieuwe aanbevelingen voor de overdracht van persoonsgegevens naar derde partij landen 

Klinkt het als een zware klus om alle AVG-regels bij te houden? Maak je geen zorgen - wij helpen je. Als je je aanmeldt voor onze nieuwsbrief, beloven we je op de hoogte te houden van het belangrijkste AVG-gerelateerde nieuws en andere cyberbeveiligingsgerelateerde onderwerpen.