AVG-avond in Hoogezand: Wat, waarom, doel en toestemming

Afgelopen maandag was Appwatching aanwezig bij het Privacy College in Hoogezand over
de impact van de nieuwe Europese privacywet (AVG) op ondernemers en consumenten.
De avond werd georganiseerd door
Parkmanagement Midden-Groningen en Biblionet
Groningen
. Rob Platteel, privacy manager van Pprotectum, zette deze avond alle
belangrijke punten op een rij.

De avond wordt geïntroduceerd door Platteel met een aantal voorbeelden die de mensen in de zaal weer even bewust maken van wat er allemaal gebeurt tegenwoordig met persoonsgegevens. “Je telefoon weet wanneer je opstaat en gaat slapen, maar ook met wie en
hoe vaak. En Facebook luistert met je mee en toont advertenties op basis van wat je zegt.” Volgens Platteel laten de voorbeelden zien dat scherpe en duidelijke privacyregels zeer belangrijk zijn.

Grootste veranderingen

Uiteraard begon Plattel bij het begin: wat is AVG nou eigenlijk. AVG staat voor Algemene verordening gegevensbescherming en is een nieuwe wet op het gebied van privacy. Deze wet gaat op 25 mei 2018 van kracht en verandert voor ondernemers de manier waarop zij klantgegevens mogen bewaren. Maar ook voor consumenten is het belangrijk om te weten wat hun rechten zijn.

Platteel geeft aan dat elke organisatie die ook maar iets van haar klanten of relaties bewaart te maken krijgt met de AVG en moet weten wat het inhoudt. Alleen voor inlichtingen-, veiligheids- en opsporingsdiensten gelden andere regels. “Het moet straks duidelijk zijn wat het doel van de gegevens is die je bewaart en alleen dat wat echt nodig is mag opgeslagen worden”, aldus Platteel. Wat er verder in grote lijnen verandert vind je hieronder.

 

Verantwoordingsplicht

Je moet altijd aan kunnen tonen welke persoonsgegevens je bewaart, waarom je die bewaart en hoe je ze hebt beveiligd.

Register van verwerkingen

Je moet op elk moment een register aan kunnen leveren met opgeslagen gegevens en verantwoording.

Privacy by design/privacy by default

Een vakje voor het aanmelden van bijvoorbeeld de nieuwsbrief mag niet automatisch aangevinkt zijn.

Gegevenseffecten beoordeling (PIA/DPIA)

Je moet bij nieuwe initiatieven aan kunnen tonen of je rekening hebt gehouden met de privacy van betrokkenen.

Functionaris gegevensbescherming

Sommige organisaties moeten verplicht een functionaris gegevensbescherming hebben.

Meer en zwaarder sanctiemogelijkheden AP

De Autoriteit Persoonsgegevens mag straks boetes uitdelen tot twintig miljoen euro of vier procent van de omzet.

Rechten van betrokkenen

Klanten of relaties moeten uit een systeem worden verwijderd wanneer zij aangeven dat ze dat willen.
Naast dat alle gegevens in een register van verwerkingen moeten kloppen zorgt een register ervoor dat een wijziging meteen in alle systemen wordt doorgevoerd. Een goed werkend register van verwerkingen voorkomt een hoop misverstanden. In het verhaal van Ron Kowsoleea ziet Platteel een mooi voorbeeld. “Kowsoleea was een zakenman waarvan de naam is gebruikt door een oude bekende is opgegeven toen die werd opgepakt. Daarna werd Kowsoleea gezocht en op een gegeven moment opgepakt toen hij op een vliegveld was. Hij kon zijn onschuld bewijzen, maar bleef in alle systemen staan als gezocht.”

Online risico’s

Aan de hand van online risico’s bij het niet zorgvuldig omgaan met gegevens toonde Platteel het belang van de AVG aan. Wanneer een kwaadwillende door een datalek toegang krijgt tot alle klantgegevens van een onderneming kan dit leiden tot bijvoorbeeld identiteitsfraude. Voor een onderneming kan een datalek zorgen voor reputatieschade en onderbreking van de businesscontinuïteit.
Een opvallend gegeven deze avond is dat in tachtig procent van de gevallen de mens de veroorzaker van een datalek is. “Een medewerker van Rabobank vond eens een usb-stick op de grond voor de Rabobank en dacht dat het van een collega was. Dus de medewerker steekt de usb-stick in een computer met als gevolg dat het hele systeem op tilt slaat”, geeft Platteel als voorbeeld. Daarnaast wordt voorspeld dat binnen vijf jaar vijftig procent van de criminaliteit bestaat uit cybercrime. Als ondernemer en consument kun je verschillende maatregelen treffen om je zo goed mogelijk te weren tegen cybercrime:
Schrijf inloggegevens niet op een papiertje
Voer altijd de laatste updates uit
Zorg voor een clean desk/clear screen
Zorg voor variatie in je wachtwoorden
Gebruik een wachtwoordmanager
Gebruik tweetrapsauthenticatie
Surf via veilige websites (https)


Dit kun je als ondernemer extra doen:
Zorg voor toegangscontrole op ruimtes en gebouwen
Beperk gebruik social media via het bedrijfsnetwerk
Maak gebruik van een aanname- en uitdienstprotocol
Gebruik virusscanners en firewalls
Beveilig fysieke apparaten
Vernietig oude documenten en apparaten
Gebruik geen openbare wifi
Op het moment dat Platteel spreekt over openbare wifi heeft hij een apparaatje in zijn hand. “Met dit apparaatje (een Pineapple, red.) kan je een wifi netwerk opzetten met bijvoorbeeld de naam van een hotel. Wanneer hotelgasten inloggen op dit valse netwerk kunnen al hun gegevens ingezien en gestolen worden.”

 

Voorbereiden op AVG

Het goed beveiligen van klantgegevens is dus een belangrijk onderdeel van de AVG-wet.
Daarnaast is voor het bewaren en in kaart brengen van gegevens een goede aanpak vereist.
Platteel benadrukt dat het belangrijk is dat alle medewerkers straks bewust zijn van hoe zij om moeten gaan met al die klantgegevens. “Je kan alles technisch en organisatorisch goed inrichten, 
maar het schiet niet op als medewerkers niet weten wat ze met een phishingmail moeten doen.” Voordat je je medewerkers inlicht moet je de volgende punten duidelijk hebben:
Om welke soort gegevens het gaat
Waarom je die gegevens bewaart
Waar de gegevens zijn opgeslagen
Alleen medewerkers die het nodig zijn hebben toegang
Manier van beveiligen
Bewaartermijn
Verder is het belangrijk de volgende documentatie en protocollen op orde te hebben:
Een verwerkingsregister
Verwerkersovereenkomsten
Een procedure van datalekken en incidentenregistratie
Uit dienst en in dienst procedures
Een procedure voor een inzage verzoek
Geheimhoudingsverklaring

 

Conclusie

Woorden die telkens terugkeerden deze avond waren: wat, waarom, doel en toestemming. In grote lijnen moet je dus straks als ondernemer duidelijk hebben wat je bewaart, waarom je het bewaart en wat het doel is van de gegevens. Daarnaast hebt je te allen tijde toestemming nodig van de klanten of relaties. Hierbij spelen bewustzijn, beveiliging en het vastleggen van beleid en acties een cruciale rol.