De AVG: 2018 versus 2020

Het is vandaag exact twee jaar geleden dat de Wet bescherming persoonsgegevens (Wbp) vervangen werd door de Algemene Verordening Gegevensbescherming (AVG). Wat is er sindsdien veranderd, welke ontwikkelingen zien we bij Qbit en hoe ziet de toekomst van de AVG eruit? Je leest het in dit blog.

Geplaatst op 25 mei 2020 in Blog.

AVG of GDPR

Sinds 25 mei 2018 is de AVG van toepassing; in het Engels General Data Protection Regulation (GDPR). Waar veel organisaties destijds lichte paniek ervoeren over wat ze allemaal moesten regelen om AVG-proof te zijn, is de kans groot dat dit gevoel in de afgelopen twee jaar is vervaagd. Veel organisaties voldoen inmiddels in de basis aan de privacywetgeving. Daarnaast geeft de Autoriteit Persoonsgegevens meer duidelijkheid over de implementatie van de AVG. Zo geven ze duidelijk aan voor wie bepaalde onderdelen verplicht zijn en publiceerde de European Data Protection Board (EDPB) de afgelopen twee jaar werkdocumenten met uitleg over de toepassing van de AVG. De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de AVG. Bij Qbit merkten we in de loop van de afgelopen twee jaar dat organisaties steeds meer complexe vraagstukken over de verwerking en/of uitwisseling van privacygevoelige informatie hebben liggen.

Meer specifieke AVG-vraagstukken

Toen de AVG twee jaar geleden werd geïntroduceerd, klopten organisaties vooral bij ons aan voor een nulmeting en om hen wegwijs te maken in de nieuwe AVG en haar (ruim interpreteerbare) richtlijnen. Tegenwoordig weten veel meer mensen wat de AVG is, hoe ze er als organisatie aan moeten voldoen en waar ze hulp bij kunnen gebruiken. Kortom; organisaties zijn ‘volwassener’ geworden op het gebied van AVG - en dat merken we bij Qbit. Zo krijgen we tegenwoordig meer complexe privacyvraagstukken van klanten en zijn organisaties zoekende hoe ze de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces van, bijvoorbeeld, hun nieuwe product of systeem kunnen meenemen.

Het meenemen van die beschermingsmaatregelen in het ontwerpproces valt onder het begrip ‘privacy by design’; onderdeel van de AVG. Meer concreet is er sprake van ‘privacy by design’ wanneer je de AVG-beginselen al meeneemt in het ontwerpstadium van een systeem of proces: rechtmatigheid, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid. Daarnaast moet je kunnen aantonen dat je deze beginselen toepast en dat je je proces of systeem goed beveiligt tegen indringers. Door bij het ‘design’ al rekening te houden met privacyrisico’s en hier meteen passende maatregelen voor te treffen, beperk je privacy-inbreuken die jou en je klant veel schade kunnen berokkenen. Zo schakelde een zorginstelling Qbit in om de veiligheid van hun nieuwe patiëntenportaal te controleren. Het was volgens de AVG al verplicht om patiënten te allen tijde inzage te geven in hun dossier, maar op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) moet dit per 1 juli 2020 ook elektronisch kunnen. Het ging dus heel specifiek om één systeem welke bovendien zeer goed beschermd moest zijn, omdat het portaal veel gevoelige gegevens van een groot aantal patiënten moet verwerken en ordenen. We controleerden onder andere samen met de leverancier van het portaal, of het product aan alle privacymaatregelen voldeed en of er bijvoorbeeld een pentest was uitgevoerd. Naast de meer specifieke en complexe vragen zien we ook een steeds groter bewustzijn rondom privacy.

Meer bewustzijn rondom privacy

Het toegenomen bewustzijn rondom privacy is allereerst het gevolg van de nieuwe AVG zelf die nou eenmaal meer verantwoordelijkheid bij organisaties neerlegt. Ook het eerdergenoemde ‘privacy by design’ dwingt bedrijven om meer bewust om te gaan met de privacyrisico’s van hun werkprocessen, systemen en producten. Daarnaast zien we tegenwoordig veel vaker dat een organisatie een interne of externe Privacy Officer aanstelt die binnen de organisatie de implementatie van de privacymaatregelen voor zijn rekening neemt, zoals het bijhouden van het verwerkingsregister, het uitvoeren van DPIA’s en het opstellen van procedures. Bovendien zorgden de datalekken die de afgelopen twee jaar in het nieuws kwamen voor meer bewustzijn en het treffen van de noodzakelijke maatregelen. De eerdergenoemde volwassenheid van organisaties op het gebied van de AVG en het grotere bewustzijn rondom privacy komen goed van pas vanwege de huidige situatie met het coronavirus. Die brengt namelijk nieuwe privacyrisico’s met zich mee.

Huidige privacyrisico’s vanwege thuiswerken door COVID-19

Als gevolg van COVID-19 werken we sinds kort meer vanuit huis dan ooit tevoren. Om dit allemaal soepel te laten verlopen, downloaden medewerkers verschillende tools die snel en praktisch zijn. Daarnaast heeft niet iedereen een laptop van de zaak, waardoor medewerkers met hun eigen laptop op hun eigen WiFi-netwerk aan de slag gaan. Maar is het WiFi-netwerk van medewerkers wel goed genoeg beveiligd tegen indringers en weten zij welke (gevoelige) gegevens de thuiswerk-tools, zoals videocall-apps, van hen verzamelen en waar de informatie terecht komt? Dit soort vragen zijn vanuit de AVG belangrijk om te stellen, want je wilt waar dan ook op de juiste manier omgaan met klant- en andere persoonsgegevens. Heb je vragen over de privacyrisico’s van het thuiswerken met klantdata? Neem gerust contact op. We helpen je namelijk graag om alles, ook bij het thuiswerken, AVG-proof te maken. Lees hieronder wat we voor je kunnen betekenen op het gebied van de juiste implementatie en uitvoering van de AVG-richtlijnen.

Qbit als externe AVG-implementatiepartner

Onze privacy-adviseurs helpen je op verschillende niveaus bij de implementatie van de AVG-richtlijnen binnen jouw organisatie. Of je nu de privacyrisico’s binnen je organisatie in kaart wilt brengen, op zoek bent naar een interne toezichthouder die alle beveiligingsmaatregelen controleert en toetst, een hands-on Privacy Officer nodig hebt die de juiste beveiligingsmaatregelen doorvoert of gewoon een privacy gerelateerde vraag hebt: onze experts staan voor je klaar.

  • Een AVG-audit of DPIA. Met een AVG-audit voert Qbit een nulmeting uit die laat zien in welke mate je organisatie voldoet aan de AVG-doelstellingen. Met een Data Privacy Impact Assessment (DPIA) gaan we een stap verder door de privacyrisico’s van een gegevensverwerking in kaart te brengen en maatregelen aan te dragen om die risico’s te verkleinen. De uitvoering van een DPIA wordt gezien als een vanzelfsprekende maatregel bij de bouw van systemen en het aanleggen van databestanden. De NOREA (Nederlandse Orde van Register EDP-Auditors) heeft een model-DPIA ontwikkeld, maar er zijn ook modellen ontwikkeld die meer gericht zijn op specifieke branches en sectoren. De privacy-specialisten van Qbit kennen de verschillende modellen en kijken samen met jou welk model het beste past bij jouw organisatie en manier van gegevensverwerking.

  • Shared Privacy Officer. Met een Shared Privacy Officer van Qbit haal je een vast aanspreekpunt en een sparringpartner in huis waarmee je zeker weet dat de privacy- en informatiebeveiliging van je organisatie te allen tijde tip top in orde is. Een Shared Privacy Officer heeft een uitvoerende rol binnen je organisatie en voert alle beschermingsmaatregelen door in de werkprocessen. Het creëren van bewustwording op de werkvloer over de omgang met privacygevoelige gegevens valt ook onder de taken van de Privacy Officer.

  • Functionaris Gegevensbescherming. Zijn alle beveiligingsmaatregelen al doorgevoerd en ben je op zoek naar iemand die toezicht houdt, regelmatig toetst of je nog aan alle privacyrichtlijnen voldoet en op basis daarvan adviseert? Dan kun je één van onze privacy-adviseurs aanstellen als een externe Functionaris Gegevensbescherming. Uiteraard is het ook mogelijk om zowel een Shared Privacy Officer als een Functionaris Gegevensbescherming van Qbit in te schakelen.

Tot slot onze verwachting

We verwachten dat organisaties in de toekomst steeds volwassener worden voor wat betreft de AVG en verwachten dan ook dat de vraagstukken steeds complexer worden. Ook zullen meer en meer organisaties privacy by design toepassen, omdat men steeds beter begrijpt dat je hier als organisatie veel (imago)schade mee kunt voorkomen. Ons werk om die organisaties te helpen AVG-proof te worden en te blijven zal nooit ophouden. Waarom niet? Omdat wetgeving, organisatiebeleid, werkprocessen en -systemen regelmatig veranderen. Ook personeel en klanten verschillen van tijd tot tijd. Wil je graag een betrouwbare en ervaren privacypartner die ervoor zorgt dat jouw organisatie doorlopend AVG-proof is en wanneer gewenst advies geeft? Neem gerust contact met ons op, dan bespreken we welke van onze diensten het beste bij jouw organisatie past.

Nienke Hiemstra

By Nienke Hiemstra

Advisory & Assurance

Heb je vragen over deze blog of onze diensten? E-mail me of bel me op +31 6 50 627 887.

Contact

Wereldwijd groeit de vraag naar cybersecurity. Qbit biedt inzicht en laat zien hoe we als partners kunnen samenwerken.

Contact ons

Newsletter