Sinds 25 mei 2018 mei is de Algemene verordening gegevensbescherming (AVG) van toepassing. Deze wet heeft de Wet bescherming persoonsgegevens (Wbp) vervangen. Met de komst van de AVG geldt in de hele Europese Unie dezelfde privacywetgeving. Ondanks dat het inmiddels bijna drie jaar geleden is dat de Europese privacywet AVG is ingevoerd, voldoen de meeste organisatie er nog niet aan. Dit liet een collectief van meer dan 130 grote Nederlandse werkgevers weten in het FD. Een groot deel van de oorzaak ligt volgens deze groep werkgevers in het feit dat veel bedrijven en organisaties in Nederland veelvuldig gebruik maken van Amerikaanse cloudleveranciers, waarmee de naleving van de AVG onvoldoende geborgd is. Ook de Autoriteit Persoonsgegevens (AP) ziet in dat dit een probleem is. Er is nog geen sprake van optreden hiertegen door toezichthouders in Amerika of Europa. Als Nederlandse organisatie zou het kunnen dat je nu opgelucht ademhaalt, je bent niet het enige bedrijf dat nog niet aan de AVG voldoet. Ook toezichthouders erkennen dat een deel van het probleem aan de andere kant van de oceaan ligt.
Toch zien we dat de AVG en het beschermen van persoonsgegevens meer een meer aandacht krijgt. De Autoriteit Persoonsgegevens treedt vaker en harder op wanneer er sprake is van (grootschalige) datalekken. Externe auditoren vinden het kunnen aantonen van naleving van de AVG toch ook echt belangrijk tijdens een externe audit voor ISO 27001/NEN 7510/ ISO 9001. Bovenal geeft de pers veel aandacht aan misstappen, de imagoschade binnen de publieke opinie is zeer groot. Genoeg reden om tóch maar eens aan de slag te gaan met die AVG, informatiebeveiliging of om nog eens kritisch te kijken naar jouw afhankelijkheid van eventuele overzeese cloudleveranciers.
De basis om te voldoen aan de AVG is vast te leggen in vijf documenten. Deze vijf documenten moet elke organisatie die persoonsgegevens verzamelt beschikbaar hebben:
Wil je als organisatie niet langer bij die grote groep van bedrijven horen die nog altijd niet aan de AVG voldoet? Zorg dan dat je in ieder geval deze vijf documenten hebt opgesteld en periodiek actualiseert. Dit is overigens ook iets waar we bij QSN veel ervaring mee hebben. Neem gerust vrijblijvend contact op voor meer informatie.
De verplichte documenten bezitten resulteert niet automatisch in het voorkomen van datalekken. Deze documenten geven nog weinig zekerheid dat imagoschade jouw organisatie nooit zal overkomen. Om persoonsgegevens, maar ook alle andere informatie binnen de organisatie veilig te behandelen, kiezen veel organisaties voor certificering conform ISO 27001. Dit heeft als bijkomend voordeel dat je een internationaal certificaat op het gebied van informatiebeveiliging hebt, waarmee je ook naar de buitenwereld toe aantoonbaar maakt dat dit binnen de organisatie hoog op de agenda staat.
Veel organisaties verlangen naar een certificaat om te bewijzen dat de organisatie aan de AVG voldoet. Een aantal jaar terug hadden we nog hoge verwachtingen bij de Technical Standard related to Personal Data Protection against EU regulation 2016/679. In onze adviespraktijk krijgen wij hier nog maar weinig vragen over. Ook is er een AVG-certificaat dat kan worden toegekend wanneer een product, proces of dienst voldoet aan de eisen uit de AVG. Er zijn op dit moment in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van een dergelijk certificaat.
Desondanks is er met de komst van ISO 27701, dé norm voor privacymanagement, toch een manier om het naleven van privacyregels aantoonbaarder te maken. ISO 27701 is een uitbreiding van de ISO 27001 norm met specifieke beheersmaatregelen in het kader van privacy. Let wel, deze norm is alleen te implementeren als de organisatie ook ISO 27001 geïmplementeerd heeft. Bij het implementeren van ISO 27701 zal het bestaande Information Security Management System (ISMS) uitgebreid worden naar een Privacy Information Management System (PIMS). De norm biedt kaders voor de wijze waarop persoonsgegevens beheerd moeten worden door organisaties en welke maatregelen hiervoor moeten worden getroffen. Een groot deel van de AVG wetgeving is ook onderdeel van de ISO 27701 norm. Het implementeren van een PIMS volgens ISO 27701 maakt dus dat de organisatie een grote stap zet richting volledige AVG compliancy, een stap die ook aantoonbaar is richting klanten en overige belanghebbenden.
Wat overblijft zijn de grootschalige cloudleveranciers waar veel bedrijven op steunen. De afhankelijkheid blijft, ook wanneer je intern beter met gegevens omgaat. In geen van de normen staat beschreven dat je niet kunt certificeren zolang je gebruikt maakt van een dergelijke leverancier. Waar de normschema’s natuurlijk wel iets over zeggen is dat leveranciersmanagement een belangrijk onderdeel is van het ISMS of PIMS. Mijn tip: zie leveranciersbeoordelingen niet als een jaarlijks moetje. Sta er eens bij stil wat je afhankelijkheid is en wat mogelijke risico’s zijn hiervan, zeker ook als het gaat om de privacy gevoelige informatie die je als organisatie verwerkt.
Update 14-06-2021: Vanuit het FD hebben veel betrokken organisaties de mening dat het privacytoezicht voor Europa beter centraal kan worden georganiseerd in Brussel. Dit zou kunnen betekenen dat de European Data Protection Board, die vooralsnog enkel een adviserende rol speelt, mogelijk meer macht en slagkracht gaat krijgen. Deze slagkracht is precies wat elke individuele Nederlandse organisatie mist om echt iets te kunnen bewerkstelligen richting de cloudleveranciers en hopelijk gaat een prominentere Data Protection Board wel verschil kunnen maken om ook deze laatste hindernis richting AVG compliancy te overwinnen.
Voldoet jouw organisatie al aan de AVG? We helpen je graag met een GAP-analyse, inrichting van documentatie maar ook bij het realiseren van awareness. We vertellen je graag meer in een vrijblijvend adviesgesprek.
P.s. we organiseren 17 juni ook een gratis webinar. Schrijf je snel in!
Bronnen: Financieel Dagblad, Autoriteit Persoonsgegevens en Schravemade.