Bizon Software: Klantendag 16 mei 2017

“Onze back-up en informatiebeveiliging? Dat regelt ‘IT’.” “Wanneer de back-up is getest? Geen idee, maar dat zal goed zijn toch?” Of “We hebben allemaal een wachtwoord dus alles is veilig!”

Dit zijn veelvoorkomende reacties tijdens een audit. De confrontatie met de wetgeving die daarna volgt, levert vaak een naar zuurstof happende manager of directielid op. De Algemene Verordening Gegevensbescherming (AVG) wordt 25 mei 2018 van kracht. Er is nog tijd.

 

Compliance begint bij bewustwording

Informatiebeveiliging en privacy is geen onderdeel van de IT-afdeling. De verantwoording en aansprakelijkheid ligt bij directie en management. Juridisch gezien heet dit sinds 1 januari 2016 ‘data zorgplicht’. Verleggen van die aansprakelijkheid mag niet, ook niet bij incidenten. Dat betekent dat privacy en beveiliging stevig verankerd moeten zijn in de organisatie. Pas als er bewustwording is kan compliance worden afgedwongen en gereguleerd.

 

De maatregelen om compliant te zijn aan de AVG zijn veelomvattend. Hoe complex de uiteindelijke implementatie is, hangt volledig af van de huidige stand van zaken, organisatiegrootte en aard van de werkzaamheden en het soort data dat wordt verwerkt. Maatwerk dus.

 

Maar waar te beginnen?

Start met een inventarisatie van de huidige situatie. Bepaal de juridische grondslag van de benodigde persoonsgegevens en leg de aard van gegevensverwerking vast. Er moet uiteindelijk een doelverband zijn en er geldt documentatieplicht. Stel daarom het verwerkingsregister op. Hierin wordt vastgelegd hoe en met welk doel persoonsgegevens worden verwerkt. Maar ook zaken zoals inzagerecht, verantwoordelijkheid en classificatie van gegevens worden hierin beschreven. Stel aansluitend beleid op voor informatiebeveiliging en privacy.

 

Regel alle toestemmingen van betrokkenen waar persoonsgegevens van worden verwerkt en leg beleid en procedures vast rondom zaken als informatiebeveiliging, encryptie en de back-up van data. Test de beveiliging en back-up ook regelmatig en leg dit vast in rapportages.

 

Loop alle bestaande contracten na. Zo was voorheen een bewerkersovereenkomst al verplicht, maar de AVG stelt aanvullende eisen. Een overeenkomst moet ook worden afgesloten met de IT-dienstverlener en providers van cloudapplicaties. Let ook op het verplichte privacy statement. Worden gegevens via de website verzameld, bijvoorbeeld met een contactformulier? Dan moet het statement ook op de website gepubliceerd worden.

 

Stel procedures op

Stel procedures op naar aanleiding van de zaken die voortkomen uit de beleidsdocumenten en maak procedures aangaande de nieuwe rechten die betrokkenen hebben. Ook voor de meldplicht datalekken moet een procedure en een incidentenregister worden opgesteld.

 

Belangrijk nog om te vermelden zijn de overwegingen omtrent een privacy impact assessment en de aanstelling van een functionaris gegevensbescherming. Hoewel de verplichting per situatie afhankelijk is, kan een functionaris de organisatie ontlasten waarbij de toezichthouder zich terughoudend opstelt. Ook wanneer er geen verplichting is, kan de aanstelling het overwegen waard zijn. Een functionaris kan worden ingehuurd, intern worden aangesteld, of vanuit een brancheorganisatie worden gefaciliteerd. Een privacy impact assessment geeft een helder beeld omtrent de risico’s.