De nieuwe regels voor de bescherming van persoonsgegevens bezorgen bedrijven veel werk. Registratie van wat er met persoonsgegevens wordt gedaan – ook bijvoorbeeld van het personeel -, nieuwe overeenkomsten met opdrachtgevers én ingeschakelde collega’s en verplicht melden van datalekken; allemaal taken die op ondernemers afkomen. Daarnaast vergt ook de cyberveiligheid en bescherming tegen aanvallen voortdurend aandacht.
“De nieuwe regels voor gegevensbescherming raken in principe elk bedrijf. En het is kort dag De regelgeving gaat in op 25 mei 2018. Er is geen overgangstermijn,” stelt mr. U.H. Oelen van de Autoriteit Persoonsgegevens (AP), tijdens een bezochte bijeenkomst van het KVGO op 4 oktober in Soestduinen.
Oelen sprak over de Algemene Verordening Gegevensbescherming (AVG), van de Europese Unie die de voorschriften rond de bescherming van persoonsgegevens in alle EU-landen op één lijn brengt. De verordening leidt er toe dat er een aantal nieuwe voorschriften gaat gelden voor organisaties en bedrijven.
“Voor een deel bestaan er al dergelijke regels op grond van de nationale wetgeving, maar er verandert wel het één en ander.”
Aanspreekpunt
Zo maakt de AVG bij de bescherming van gegevens onderscheid tussen ‘verantwoordelijke’ en ‘verwerker’. Wie als verantwoordelijke wordt aangemerkt hangt af van de vraag wie de persoonsgegevens beheert. Hij of zij stelt het doel en de middelen van de gegevensverwerking vast, bepaalt het hoe, waarom en wat en is ook uiteindelijk het aanspreekpunt voor informatie als er iets mis gaat.
De verwerker, dat kan bijvoorbeeld een drukker of binder zijn, werkt in opdracht van de verantwoordelijke, maar heeft op het gebied van de beveiliging wel plichten. De partijen moeten ook de afspraken over de manier waarop persoonsgegevens worden beschermd in een schriftelijke overeenkomst vastleggen.
Als de drukker een collega inschakelt, dan moet dat expliciet door de opdrachtgever worden goedgekeurd of al van te voren in de overeenkomst zijn opgenomen.
Register
Verder dient elk bedrijf een register aan te leggen van persoonsgegevens waar het mee bezig is, inclusief die over het eigen personeel en bijvoorbeeld uit een klantenbeheerssysteem. Dat register dient beschikbaar te zijn als de AP besluit een controle uit te voeren.
“U kunt het dan niet even snel opstellen,” zegt Oelen. Hij wijst er daarbij op dat de verantwoordelijke, in veel gevallen de opdrachtgever, voor het uitvoeren van zijn taken zoals rond het register informatie nodig zal hebben van de verwerkers.
Dwangsom
Nieuw is ook dat de verwerker een boete kan worden opgelegd. Dit wordt in de media worden om commerciële redenen vaak breed uitgemeten. Hiervoor hoeft men niet meteen bang te zijn. Het is niet zo dat de AP meteen boetes gaat uitdelen.
Is iets niet in orde dan zal er eerder een eis onder dwangsom worden opgelegd. Het bedrijf krijgt de tijd om de overtreding op te heffen en te voldoen aan de AVG. Is dit op tijd voor elkaar dan wordt er geen dwangsom opgelegd.
Meldplicht
Verder wees de vertegenwoordiger van de AP op de uitbreiding van de meldplicht bij datalekken. Nu moeten die gemeld worden als er ernstige nadelige gevolgen dreigen voor de bescherming van persoonsgegevens. Straks moet elk datalek gemeld worden tenzij onwaarschijnlijk is dat dat een risico inhoudt.
Andere onderwerpen in de AVG zijn de Data Protection Impact Assessement voor verwerkingen met een hoog privacyrisico, zoals medische gegevens. Een ander thema is de ‘functionaris voor gegevensbescherming’. Deze eis zal meestal niet gelden voor grafische bedrijven.
Brancheniveau
Voor dergelijke onderwerpen kunnen ook op brancheniveau afspraken gemaakt worden. Het KVGO onderzoekt samen met de Europese partners een Gedragscode waarin een aantal onderwerpen uit de AVR geregeld zou kunnen worden.
Een groot deel van de onderwerpen waar ondernemers zich op dit gebied mee bezig moeten houden, is ‘inbegrepen’ in certificering volgens ISO 27001, stelt Tobias op den Brouw, IT-specialist bij het Dienstencentrum. Hij leidde, voorafgaand aan het betoog van Oelen, een interactieve sessie over databeveiliging en cyberaanvallen.
Verzekering
Cyberveiligheid staat bovendien centraal bij de speciale verzekering die Mutsaerts, een preferred supplier van het KVGO, aan de leden aanbiedt.
Guido Kuitert van Mutsaerts in een toelichting: “Er zijn twee soorten bedrijven. Bedrijven die gehackt zijn en bedrijven die nog gehackt zullen worden.” Verontrustend is dat een hacker gemiddeld 209 dagen in een systeem rondneust voordat dit wordt opgemerkt.