Uw organisatie helpen voldoen aan de AVG

De Algemene Verordening Gegevensbescherming - AVG - is de Nederlandse variant van de Europese General Data Protection Regulation, GDPR. In dit artikel geven we u tips voor uw organisatie om op een juiste manier om te gaan met persoonsgegevens, met data in het algemeen en de manier om processen te borgen in het managementsysteem. Het gaat natuurlijk om de beveiliging enerzijds, maar het operationele werk moet anderzijds niet worden gehinderd.

Tip: Borg de regels van de AVG in het kwaliteitsmanagementsysteem dat voldoet aan ISO 27001. De kwaliteitsnorm ISO 27001 gaat over de beheersing van informatie in het algemeen, waaronder dus ook persoonsgegevens. Het is verstandig een integrale benadering te kiezen voor alle informatie, die in uw organisatie rond gaat, anders ontstaan onnodige kosten en traagheid in processen. Hieronder volgen tips over het voldoen aan de AVG met behulp van ISO 27001.

Voldoen aan de AVG en borging met het managementsysteem:

  1. Persoonsgegevens verwerken voor de administratie
  2. Identificatie van personen is niet toegestaan
  3. Uw organisatie is verantwoordelijk voor het resultaat
  4. Oplossingen in de uitvoering van processen

1. Persoonsgegevens verwerken voor de administratie

Uw organisatie beschikt minimaal over de persoonsgegevens van uw eigen medewerkers en tijdelijke inleenkrachten. Indien uw organisatie bijvoorbeeld een ICT bedrijf is, een ziekenhuis of een loonstrokenverwerker, dan beschikt uw organisatie ook over persoonsgegevens van derden. Voor al deze persoonsgegevens geldt dat ze moeten worden beveiligd om de privacy van personen te garanderen. Daarom mogen de gegevens alleen worden gebruikt voor het doel waarvoor ze zijn. Bijvoorbeeld:

  • Persoonsgegevens zijn nodig om salarissen te verwerken.
  • Een ziekenhuis gebruikt patiëntgegevens voor diagnose en behandeling
  • Een ICT bedrijf gebruikt IP adressen om computers te onderhouden
  • Een uitzendbureau gebruikt persoonsgegevens om uitzendkrachten voor te stellen

De persoonsgegevens worden gebruikt voor het beoogde doel en worden bewaard zolang ze nodig zijn voor dat doel. Religieuze achtergrond, politieke voorkeur en de kleur van de ogen zijn niet nodig om salarissen uit te keren, dus die mogen daarom ook niet bekend zijn of worden verwerkt.

Tip: Identificeer de noodzakelijke persoonsgegevens, definieer het doel waarvoor deze gegevens nodig zijn en bepaal vervolgens of ze veilig in de administratie worden verwerkt.

2. Identificatie van personen is niet toegestaan

Het idee achter de AVG is dat de privacy van (natuurlijke) personen - lees: mensen - is gewaarborgd. Dat betekent dat het de bedoeling van de AVG is dat personen niet aan de hand van hun gegevens (kenmerken) kunnen worden geïdentificeerd. Voorbeelden van dit soort gegevens of kenmerken zijn:

  • Naam
  • Adres
  • Personeelsnummers
  • Salaris
  • Kenteken van de auto
  • Paspoortnummer, identiteitsbewijs
  • Burgerservicenummer
  • Contractnummers, klantnummers
  • Locatiegegevens, GPS code
  • IP adres, e-mailadres
  • Religie, politieke voorkeur, democratische stem
  • Lidmaatschappen
  • Lichamelijke of geestelijke kenmerken
  • DNA, gezondheid, klachten
  • Koopgedrag bij winkelketens
  • Bankgegevens

Zo is de lijst lang. Het is niet nodig een lange lijst te maken, maar, omgekeerd, te bepalen welke gegevens nodig zijn om bijvoorbeeld het salaris te berekenen en uit te keren. Daar zal niemand bezwaar tegen hebben. Het is de P&O Manager daarentegen niet toegestaan deze of andere gegevens aan bijvoorbeeld een hypotheekadviseur te verstrekken om deze het personeel te laten benaderen voor interessante aanbiedingen voor hypotheken.

Tip: Toets of in de operationele processen, zoals HRM, Sales, Productie, ICT en andere processen persoonsgegevens en andere data weglekken of naar een onbedoelde locaties stromen. Maak procesbeschrijvingen, zoals bij ISO 9001 en ISO 27001 gebruikelijk is, zie kwaliteitshandboek, en identificeer de informatiestromen in die processen.

3. Uw organisatie is verantwoordelijk voor het resultaat

Het recht op privacy is een grondrecht. De AVG richt zich dan ook op uw organisatie als verantwoordelijke entiteit voor de bescherming van de privacy, door persoonsgegevens juist te verwerken. Uw organisatie moet zich met andere woorden aan de wet houden en de natuurlijke personen moeten zich er van kunnen overtuigen dat uw organisatie op een juiste manier handelt. Hoe doet u dat? Door transparant te zijn. Voer daartoe de volgende tips uit. Verantwoordelijkheid nemen en transparantie borgen verloopt onder meer via:

  1. Een social media code om te voorkomen dat collega’s gegevens delen
  2. Uitgeschreven processen in een kwaliteitshandboek
  3. Certificatie van uw organisatie voor ISO 27001/ISO 9001
  4. Een verwerkingsovereenkomst
  5. Een privacy protocol of overeenkomst, met onder andere:
    1. Inzage van verwerkte gegevens
    2. Mogelijkheid tot rectificatie
    3. Wissen van gegevens
    4. Beperking van de verwerking als gegevens niet juist zijn
    5. Informatie over genomen maatregelen
    6. Juistheid lay-out van de gegevens voor correcte overdracht
    7. Mogelijkheid tot bezwaar maken
    8. Voorkomen van profilering

4. Oplossingen in de uitvoering van processen

Vervolgens geldt nog een aantal verplichtingen, waarmee wordt beoogd de beheersing van processen te borgen. Deze verplichtingen liggen in lijn met andere processen in uw organisatie. Bijvoorbeeld de verplichting om bij het ontwerp van de processen rekening te houden met standaardisatie. Net als bij productieprocessen of andere operationele processen vraagt de AVG ook om standaardisatie. Bijvoorbeeld gebruik op de website een standaard contactformulier. Toets dit formulier aan de AVG en pas dit ene formulier vervolgens overal op de website toe. Dat is een makkelijke manier van borging en bescherming. Twee of meer verschillende formulieren leidt weer tot meer onderhoud en mogelijke fouten.

Tips:

  1. Ontwerp overal in de organisatie standaard processen. Dat is ook in lijn met de richtlijnen van kwaliteitssystemen zoals ISO 9001 en ISO 27001. Zorg voor standaardisatie van processen.
  2. Zorg vervolgens voor versleuteling van de gegevens in de databases en bepaal het veiligheidsniveau (toegankelijkheid) van de gegevens. Niet iedereen hoeft overal bij te kunnen.
  3. Zorg tevens voor een goede back-up procedure, zodat gegevens na een calamiteit goed kunnen worden teruggezet. De back-up zelf moet ook op een veilige plek bewaard worden.
  4. Test of controleer de processen op juistheid en robuustheid, bijvoorbeeld via auditing. Ook dit is weer een eis uit ISO 9001 en ISO 27001. Gebruik deze audit procedure om ook het voldoen aan de AVG te toetsen.
  5. Neem de eisen voor het verwerken van data mee in de leveranciersbeoordeling als verwerking van de gegevens is uitbesteed. Zo kan de organisatie haar eisen kenbaar maken aan leveranciers.
  6. Maak een register van verwerkingsactiviteiten. Hierin staan onder andere de verantwoordelijkheden, doelen, categorieën en persoonsgegevens. Combineer dit met de procedure voor informatie en documentatiebeheer van ISO 9001/ISO 27001.
  7. Indien toch onverhoopt data wordt gelekt, dan moet er een procedure zijn voor melden van het lek bij de Autoriteit Persoonsgegevens en voor het ondernemen van actie om de situatie te beheersen en een oorzaakanalyse, zodat herhaling wordt voorkomen. Dit is natuurlijk te combineren met de procedure voor afwijkingen en klachten van ISO 9001, ISO 27001 en milieucalamiteiten zoals bedoeld in ISO 14001. Het gaat om correctie en control en voorkomen van negatieve effecten.
  8. Maak een risicoanalyse van de gevolgen van een datalek. Deze analyse kan worden gemaakt met de methode voor de uitvoering van een risicoanalyse zoals ook bij ISO 9001/ISO 27001 is gebruikt.
  9. Maak een risicoanalyse van de effecten als het datalek is opgetreden. Dit is voor de damage control. Dit wordt in de wet een privacy impact assessment (PIA) genoemd, hetgeen gewoon een risicoanalyse is.
  10. Neem in een van de functieomschrijvingen op dat een functionaris verantwoordelijk is voor de procesbeheersing en het coördineren van acties als een calamiteit zich voordoet. Dat kan de kwaliteitsmanager, HRM manager of compliance officer zijn.

Met behulp van deze maatregelen voldoet u aan de richtlijnen van de AVG. Er ontstaat een managementsysteem met de AVG hierin geïntegreerd.

Voldoen aan AVG integreren in het managementsysteem

De tips en voorbeelden laten zien dat veel oplossingen kunnen worden gevonden in aanvullingen op het bestaande managementsysteem. Maak het voldoen aan de AVG geen aparte exercitie, maar maak het onderdeel van de toepassing van ISO 9001/ISO 27001. Maak gebruik van de procedures, die voor deze kwaliteitsmanagementnorm al gelden, zodat geen extra procedures ontstaan, maar een efficiënte en effectieve organisatie. Wilt u weten hoe? Vraag het onze adviseurs!

Wilt u uw organisatie laten voldoen aan de AVG? Vraag informatie aan onze adviseurs via onderstaande formulier. U kunt ook bellen via 088 33 666 66 of een e-mail sturen naar info@patagonia-bv.com.

Stel uw vragen

Vul het formulier in en stel uw vragen.

Voldoen aan de AVG

  • Stappenplan uitvoeren
  • Kwaliteitsmanagementsysteem opzetten
  • Evaluatie informatiebeveiliging
  • Classificatie van informatie
  • Evaluatie Annex A ISO 27001
  • Uitvoering risicoanalyse
  • Uitvoering processen
  • Informatie beveiligen