Kun je in een notendop vertellen waar de nieuwe wet exact over gaat?

Er was al een richtlijn, de Europese privacyrichtlijn. Deze gaf al een richting voor de Europese lidstaten, een indicatie om bepaalde zaken al te regelen in het rechtssysteem. Maar hoe je dit precies moest doen was eigenlijk aan de lidstaat zelf. Dat ging alle kanten op. Er ontstond veel differentiatie. In Duitsland waren de richtlijnen bijvoorbeeld anders dan in de andere lidstaten. Daarom is er een verordening ontstaan, zodat deze voor ieder lidstaat hetzelfde zou zijn. Het laat minder ruimte aan de lidstaat, maar het zorgt er wel voor dat deze voor de gehele Europese Unie gelijk staat. Alles is strikter.

In Nederland hadden we al richtlijnen voor het beschermen van persoonsgegevens. Hoe verschilt de nieuwe wet met de huidige wet?

We hadden al de Wet bescherming persoonsgegevens. Die was gebaseerd op de Europese richtlijnen. Dat was dus onze interpretatie. In hoofdlijnen blijft dit hetzelfde. Sommige zaken worden gespecificeerd, bijvoorbeeld de toestemmingsvereisten worden verscherpt en de informatie-vereisten nemen toe. Wet meldplicht datalekken was al een voorloper op de verordening, net zoals de bewerkersovereenkomsten die naar voren komen. In de nieuwe wet wordt het allemaal meer gespecificeerd.

De burger krijgt door de wet meer privacyrechten. Welke rechten zijn dat precies?

Het recht om vergeten te worden. Deze kenden we al door een uitspraak van het Europees Hof, destijds uitgesproken bij een rechtszaak waar Google bij betrokken was. In de nieuwe wet wordt deze standaard opgenomen. Het recht op dataportabiliteit, waar veel organisaties zich zorgen over maken. Dat betekent dat een betrokkene bij een organisatie kan aankloppen, en zijn data in een machineleesbaar formaat over kan leveren naar een andere organisatie. Dit is een flinke uitdaging, want hoe zorg je dat deze geporteerde data op elkaar aansluit? Dat wat organisatie A exporteert, ook door organisatie B te importeren is. Op dit moment is daar nog geen standaard voor. Er is niets vastgelegd. Er is wel een werkgroep opgesteld die een richtlijn heeft opgesteld, om iets meer uitleg te geven hoe het recht op dataportabiliteit eruitziet. Hier is vooralsnog geen standaard voor.

Daarnaast is er het recht op beperking. Als je het niet eens bent met een bedrijf dat je persoonsgegevens verwerkt, kun je een beroep doen op het recht op beperking, bijvoorbeeld als een verwerking niet klopt. Je krijgt het recht om verwerkingen stil te leggen totdat duidelijk wordt wat ermee mag gebeuren.

In de nieuwe wet is vastgesteld dat verwerkingen van persoonsgegevens vastgesteld moeten worden in registers. Wat betekent dit precies?

Dat je in kaart moet brengen welke persoonsgegevens je hebt, wat je er allemaal mee doet en hoe je dat beveiligt. Hoeveel je van die gegevens vastlegt hangt af van je rol. In de privacywet zijn er verschillende rollen: de verantwoordelijke (die bepaalt welke persoonsgegevens er worden vastgelegd en wat ermee gebeurt), zij kiezen vaak een ict-dienstverlener om dit voor hen te doen.

Dit is dan een verwerker (die handelt in opdracht van de verantwoordelijke, maar staat niet in direct gezag) en dan heb je de betrokkene (de persoon van wie die gegevens van zijn). Als verantwoordelijke moet je meer gegevens vastleggen dan een verwerker. Bij een hostingprovider zoals True weet je niet wat de verantwoordelijke met de gegevens doet, dus dan is het niet nodig om deze gegevens mee te nemen in het register. Je heb minder documentatieplicht dan een verantwoordelijke.

Kun je een paar voorbeelden noemen van persoonsgegevens die vastgelegd moeten worden?

Denk aan de categorieën van verwerken. Sla je het op? Geef je het door? Hoe vaak deel je het met derden? Wis je de data? Wordt het gedeeld met landen binnen de EU? Of juist buiten de EU? Hoe is het beveiligd (en dan specifiek welke maatregelen je hebt genomen)? Daarbij moet ook de verantwoordelijke vertellen met welk doeleinde de verwerking plaatsvindt. Welke categorieën gegevens het zijn of welke betrokkenen het zijn.

Een flinke pil voor organisaties om dit allemaal te registreren, als ik het zo hoor.

Ja klopt. Het scheelt alleen dat niet iedereen een register hoeft bij te houden. Het geldt alleen als je meer dan 250 medewerkers hebt of structurele of risicovolle verwerkingen doet. Een eenmanszaak die kleding verkoopt zal daar niet zo snel aankomen. Maar stel dat je medische gegevens verwerkt, dan zit je er al snel aan.

Wat is een goed startpunt voor het maken van zo'n register?

Waar wij bij ICTRecht mee beginnen is een inventarisatie van de GDPR. We brengen eerst in kaart wat er allemaal is. Begin daarom bij medewerkers die een leidende rol hebben binnen de organisatie en stel die vragen over de gebruikte systemen. Wat wordt er opgevraagd van klanten? Wat wordt er opgeslagen? Als je vanuit de systemen kijkt, kun je vanuit verschillende hoeken bekijken welke persoonsgegevens worden opgehaald. Daarna kun je kijken welke persoonsgegevens erop worden gevraagd. En aan de hand daarvan kun je kijken waar zaken aangevuld moeten worden. Is het privacybewustzijn binnen de organisatie groot genoeg? Moeten we nog iets doen met de bewustwording rondom datalekken? Moet daar een beleid voor komen? Na zo'n traject heb je het register in kaart, en heb je een tool om alle zaken in te richten.

Een van de eisen binnen de nieuwe wet is dat je als organisatie een privacyverklaring moet hebben. Wat moet daarin staan?

Dit is een stuk informatieplicht. Je moet betrokkenen informeren over wat je allemaal met hun persoonsgegevens doet. Dan dien je in een privacyverklaring op te nemen wie je bent, welke informatie je verzamelt en wat je met deze informatie doet. Deel je het met derde partijen? Worden er cookies geplaatst? Zijn die van mij of zijn die van iemand anders? Waar kan je terecht voor meer informatie? Wat moeten ze doen als ze vragen hebben? Welke bewaartermijnen zijn er? Dat hoef je niet te expliciet te vermelden, maar je moet daar wel een enigszins duidelijke indicatie geven. Dat je niet langer bewaart dan voor het doeleinde nodig is bijvoorbeeld.

Ik begreep dat het begrip persoonsgegevens wordt uitgerekt. Wat betekent dit precies?

Het is een heel breed begrip. Het is ieder gegeven dat direct of indirect identifceerbaar is aan een natuurlijk persoon. Dat gaat zelfs zo ver dat een e-mailadres daar ook onder valt. Het opvallende daaraan is dat als organisaties mijn e-mailadres hebben, dat ze misschien niet weten wie ik ben. Maar omdat deze data gekoppeld kan worden aan de gehashte versie heeft, is dit e-mailadres theoretisch gezien toch herleidbaar naar mij als natuurlijk persoon. Denk aan handelingen die herleidbaar naar een natuurlijk persoon, zoals IP-adres, geolocatie en meerdere nieuwe technologische ontwikkelingen zoals biometrische gegevens.

De bewerkersovereenkomst kennen we van de huidige wetgeving. Wat gaat er veranderen bij de GDPR?

Er wordt inhoudelijk vastgelegd wat erin moet staan. Op dit moment hoeven organisaties alleen vast te leggen dat het vastgelegd moet worden, maar wat precies is nog redelijk vrij. De terminologie verandert ook. Het wordt een 'verwerkersovereenkomst' in plaats van 'bewerkersovereenkomst'. Het is niet helemaal duidelijk waarom. Je moet de rolverdeling vastleggen, maar ook verwerkingen binnen en buiten de EU, hoe je omgaat met betrokkenen en hoe je omgaat met de meldplicht datalekken.

De meldplicht datalekken blijft voor het grootste gedeelte hetzelfde, maar toch veranderen er ook een aantal zaken. Wat verandert er?

In Nederland waren we redelijk vooroplopend. De Meldplicht Datalekken is ingericht aan de hand van de komst van de GDPR. Dus deze komt vrijwel overeen met de Meldplicht Datalekken, alleen bij de GDPR wordt een lijstje gegeven met de informatie die de verwerker dient te verstrekken aan de verantwoordelijke over een datalek. Denk bijvoorbeeld aan het aantal betrokkenen en indicaties. Daarnaast moet je ook een register bijhouden voor je datalekken. Dat was voorheen nog niet.

Wat als het niet helemaal duidelijk is of er sprake is van een datalek?

Het advies is om alle mogelijke datalekken bij te houden, ook als het van tevoren niet geheel duidelijk is of er sprake is van een datalek. Stel dat het tot een discussie komt, dan heb je in ieder geval vastgelegd wanneer er iets is gebeurd. Dit geldt dan als bewijs. Ook als je het dus niet zeker weet of er sprake is van een datalek.

Wanneer spreek je van een beveiligingsincident?

Er wordt onderscheid gemaakt tussen een datalek en een beveiligingsincident. Van een beveiligingslek is sprake als er een inbreuk is op je beveiliging. Dus stel dat je bent gehackt, of er is ransomware geplaatst of een datacenter in brand gevlogen, dan kun je spreken van een beveiligingslek/beveiligingsincident. Maar op het moment dat er verder iets gebeurt met het beveiligingsincident, denk aan iemand die gegevens in kan zien of die het kan downloaden, dan is er sprake van een datalek. Het kan zo zijn dat er een beveiligingsincident is omdat er toevallig een zwakke plek is in de beveiliging, maar dat je kunt uitsluiten, middels logfiles, dat er geen toegang is geweest tot de data. Op dat moment is er dan geen sprake van een datalek.

Welke stappen kunnen organisaties zetten om meer bewustwording te creëren van de gevaren van een datalek?

Het probleem ligt vaak bij de medewerkers die met de data werken. Zij kunnen dingen achterlaten of verkeerde e-mails openen. Daar ligt de beginstap van een datalek. Het is dan ook belangrijk dat medewerkers bewust worden gemaakt van wat een datalek is en wanneer daar een melding over gemaakt moet worden bij iemand binnen de organisatie. Daarnaast moet je intern een beleid hebben, waarbij vermoedens direct gemeld kunnen worden. Maak voor medewerkers helder waar ze naartoe moeten bij twijfel en hoe de procedure loopt. Bij de AP moet op het moment van ontdekking ook melding gemaakt worden. Organisaties hebben dan 72 uur de tijd om de melding te doen. Doen ze het niet? Dan riskeren ze een boete.

Sommige organisaties worden verplicht om een privacy officer aan te stellen. Wat is dit precies?

Dit is een persoon die aan wordt gesteld als centraal aanspreekpunt waar mensen in de organisaties terecht kunnen voor vragen. Zo'n persoon moet bij alle privacygegevens die verwerkt worden in de organisatie betrokken zijn. Ziekenhuizen zitten hier dus altijd aan. Ook hier geldt bij moment van twijfel: documenteer waarom je het niet hebt gedaan en wat er de beweegredenen bij waren. Eventueel kunnen bedrijven ook externe juristen inhuren als dit noodzakelijk is.

Je noemde Privacy Impact Assessment. Wat houdt dit in?

Op het moment dat je gebruik gaat maken van een systeem waarbij je persoonsgegevens gaat verwerken, dan moet er voorafgaand een PIA worden uitgevoerd. Ook bij het implementeren van een nieuw systeem, zoals bijvoorbeeld een CRM, wordt een PIA verplicht. In de PIA wordt gekeken of de privacy zo goed mogelijk wordt ingericht. Zitten er bewaartermijnen in? Is het voldoende beveiligd? Dat soort dingen ga je testen. Je moet dit kunnen beoordelen. Iedereen met kennis van de GDPR moet hierop in kunnen spelen.

Wat betekenen de begrippen 'Privacy by design' en 'Privacy by Default'?

Privacy by design betekent dat op het moment dat je iets ontwikkelt, je al rekening houdt met de privacy van betrokkenen. Dus als je een nieuwe technologie ontwikkelt, is het verstandig om de GDPR-richtlijnen rondom het verwerken van persoonsgegevens in kaart te brengen. Denk aan het limiteren van autorisaties, dat bij mogelijke risico's automatische meldingen bij de verantwoordelijke terecht komt en dat je niet meer verwerkt dan nodig.

Privacy by default houdt in dat je de standaardinstellingen zo privacyvriendelijk mogelijk maakt. Als je bij de Albert Hein bestelt, kun je klikken op je eigen profiel en kun je zien welke gegevens de Albert Heijn van jou verwerkt. Daarnaast heb je de mogelijkheid om die gegevens aan en uit te zetten, dus je houdt het zelf in de hand wat er met je gegevens gebeurt. Maar het houdt ook in dat je algemene voorwaarden privacyvriendelijk inricht, dat je het gebruiksvriendelijk omschrijft en dat je nadenkt over welke gegevens je echt nodig hebt.

Zijn dit harde eisen?

Ja, het wordt expliciet in de GDPR genoemd. Je moet als organisatie dus echt goed gaan nadenken over de gegevens die je verwerkt. Bij zo'n register komen organisaties er bijvoorbeeld achter dat ze ook alle gegevens opslaan van sollicitanten die niet zijn aangenomen. Dat zijn dan gegevens die eruit moeten. De organisatie heeft het nergens voor nodig, dus waarom zou je het bewaren? Hetzelfde geldt voor beoordelingsrapporten van mensen die allang niet meer werkzaam zijn bij het bedrijf. Bij het opstellen van het register loop je dus bewust aan tegen zaken die je helemaal niet nodig hebt. Ook dit is privacy by design. Rondzwervende informatie wordt door de GDPR nu ook in kaart gebracht.

Welke rol spelen ISO-certificeringen binnen de nieuwe wet?

Op grond van de GDPR moet je organisatorische en technische maatregelen nemen. De ISO-certificering is zo'n technische beveiligingsmaatregel waar wordt gecheckt of je eraan voldoet. Binnen de GDPR heeft een persoon ook recht op inzage. Een certificering laat zien dat de organisatie bepaalde stappen heeft genomen voor de beveiliging. Met zo'n audit en certificiering kan je dus aantonen bij de persoon hoe zijn of haar gegevens worden beschermd. Als daarna nog steeds de vraag ontstaat hoe gegevens worden verwerkt, is het verplicht om deze persoon meer inzage te geven.

Welke tips heb je voor organisaties om voorbereid te zijn op deze nieuwe wetgeving?

Het is belangrijk om te inventariseren wat je in huis hebt aan persoonsgegevens. Wat hebben we? Wat weten we? En vanuit daar gaan kijken welke vervolgstappen er genomen moeten worden. Zijn we verantwoordelijk? Of juist de bewerker? Moeten we afspraken maken? Informeren we wel? Plaatsen we cookies? Dat je gewoon kijkt via welke wegen er allemaal persoonsgegevens binnenkomen. Van daaruit kijken wat er mee wordt gedaan, of we het delen met derden en of er nog zaken geregeld moeten worden. Dat is eigenlijk het beste, maar dat is nog een flinke kluif.

Pak daarom de key-users binnen de organisaties. Heel vaak zijn dat managers, zoals bijvoorbeeld een marketingmanager. Laat die personen ook een rol hebben, want die weet als geen ander wat er binnen hun team gebeurt.

Train ook de medewerkers. Hoe meer je medewerkers hierin worden getraind, hoe meer de bovenkant van de organisatie wordt ontlast. Verkopers zijn gericht op het sluiten van deals, maar als je die het belang van een verwerkersovereenkomst laat inzien, dan schiet je daar ook wat mee op. Bewustwording is een essentieel onderdeel.