De AVG in 5 minuten

Klaas van der Galiën, directeur van Track Software, beantwoordt in 5 minuten de belangrijkste vragen over de AVG

Privacyvragen

Sinds de AVG in mei 2018 van kracht werd, bellen klanten regelmatig onze privacy-helpdesk met vragen zoals ‘Wat verandert er nu eigenlijk met die AVG?’ of ‘Wat zijn mijn belangrijkste verplichtingen?’, ‘Wanneer moet ik een verwerkersovereenkomst sluiten?’. In dit interview beantwoorden we deze en andere privacy-vragen.

Klaas van der Galiën

Track maakt bedrijfssoftware voor arbodienstverleners zoals arbodiensten en bedrijfsartsen. Directeur Klaas van der Galiën is jurist en heeft verschillende artikelen gepubliceerd op het gebied van ziekteverzuim en privacy. We gaan met hem het gesprek aan over de AVG, de algemene verordening gegevensbescherming.

b

AVG

Wat is dat eigenlijk precies – de ‘AVG’?

De  AVG is een europese verordening op het gebied van privacyrecht. De AVG vervangt onze nationale wetgeving (de Wet Bescherming Persoonsgegevens). In alle europese landen hebben we nu hetzelfde privacyrecht.

b

Veranderingen

Verandert er veel met de AVG?

Nee, eigenlijk niet. Op de keper beschouwd legt deze wet organisaties dezelfde verplichtingen op die ze al hadden. Veel is hetzelfde.

b

AVG stress

Waarom maakt iedereen zich dan zo druk over die nieuwe AVG?

Het gaat om bewustwording. Veel organisaties hebben hun privacyhuishouding niet op orde. Er is eigenlijk gewoon sprake van achterstallig onderhoud.
Nieuw is dat de AVG verlangt dat je kunt aantonen dat je voldoet aan de verplichtingen van die wet. Dat is een groot verschil met vroeger. Maar die verplichtingen waren er al, en zijn dezelfde.

b

AVG verplichtingen

Wat zijn de belangrijkste verplichtingen van de AVG?

Het belangrijkste van de privacy-wetgeving is dat als je persoonsgegevens registreert, je je best moet doen om ervoor te zorgen dat die gegevens niet in verkeerde handen vallen. Je moet ‘voldoende technische en organisatorische maatregelen treffen’ zoals dat heet om die gegevens te beveiligen.

Als jouw gegevens in verkeerde handen vallen, of je kunt dat niet met zekerheid uitsluiten, dan is er sprake van een datalek. Als er een datalek is, dan moet je daar binnen 72 uur aangifte van doen bij de toezichthouder, de Autoriteit Persoonsgegevens. De AP kan een boete uitdelen tot maximaal 4% van je omzet. Zo’n boete kan je krijgen als de AP vindt dat je onvoldoende ‘technische en organisatorische maatregelen’ genomen hebt om die gegevens te beveiligen.

b

Beveiliging van gegevens

Wat bedoel je met  ‘technische en organisatorische maatregelen’?

Laat ik een voorbeeld noemen. Stel een zieke medewerker bezoekt de bedrijfsarts. Ze neemt allerlei papieren van haar behandelend arts mee naar het consult. De arts neemt die papieren aan, en stopt deze aan het einde van het consult in haar tas. Ook haar notebook met de notities van het consult stopt ze in die tas.

Als de bedrijfsarts nu die tas verliest, kunnen deze gegevens gemakkelijk in verkeerde handen komen. Je kunt dat in ieder geval niet uitsluiten. Het verlies van dit tas met de papieren en de computer is dan een datalek.

Als de arts de papieren had ingescand en vernietigd, en haar notities in een veilig online verzuimprogramma zoals Track Verzuim had ingevoerd, dan heeft ze andere ‘technische en organisatorische maatregelen’ getroffen. Ze kan haar tas en haar notebook verliezen, maar haar gegevens waar zij verantwoordelijk voor is staan veilig in de cloud. Die is ze dan niet kwijt. En dat bedoelen we er mee.

b

AVG voor arbodienstverleners

Waarom is die AVG belangrijk voor arbodienstverleners?

Arbodienstverleners registreren op grote schaal medische persoonsgegevens. Vaak gaat het om dossiers van duizenden mensen. Als je kijkt naar het volume dan is dat vergelijkbaar met een ziekenhuis. Maar ze hebben vaak niet goed nagedacht over de beveiliging ervan.

Tel je daarbij op dat je door de AVG moet kunnen aantonen dat je voldoende technische en organisatorische maatregelen hebt genomen om die gegevens te beschermen, dan heb je plotseling wel wat te doen.

b

Gegevens inventariseren

Hoe kan je dat concreet aantonen dan?

Nou: als eerste inventariseer je welke gegevens je registreert. Je inventariseert hoe je dat doet, hoe je die gegevens vastlegt, wie daar bij kan, met welke partijen jij die gegevens deelt. Dat soort dingen.

Vervolgens bekijk je per stap: wat is nou het risico dat ik, of iemand anders met wie ik die gegevens deel, kwijtraak? Wat is het risico dat anderen onbevoegd toegang kunnen krijgen tot de gegevens waar ik verantwoordelijk voor ben?

Als je dat gedaan hebt, dan heb je een register van verwerkingen opgesteld, plus een risico-analyse uitgevoerd.

Vervolgens moet je iets doen met die risico’s. En moet je – als je gegevens uit handen geeft waar jij verantwoordelijk voor bent – met die ander een verwerkingsovereenkomst sluiten.

b

Verwerkersovereenkomst

Wat is dat – een verwerkingsovereenkomst?

Een verwerkingsovereenkomst moet je afsluiten als je persoonsgegevens waar jij verantwoordelijk voor bent uit handen geeft. Bijvoorbeeld doordat je ze deelt met een dienstverlener waar jij mee samenwerkt. Of bijvoorbeeld doordat je gegevens opslaat in de cloud of in een verzuimsysteem zoals Track Verzuim dat door anderen wordt beheerd.

In zo’n overeenkomst leg je vast dat die ander jouw gegevens moet beschermen, dat hij ze niet mag gebruiken voor iets anders, dat hij ze later moet vernietigen, dat soort dingen. Want jij blijft verantwoordelijk voor die gegevens.

b

Overeenkomst tekenen

Als iemand jou als dienstverlener een verwerkingsovereenkomst voorlegt. Kan je die dan zo maar tekenen?

Nee. Dat is niet verstandig. Eerst moet je beoordelen over welke gegevens we praten en wie de verwerkingsverantwoordelijke is? Is er wel een noodzaak om zo’n overeenkomst te tekenen?

Daarnaast bevatten zulke overeenkomsten soms ook onevenwichtige boeteclausules, aansprakelijkheden, kettingbedingen. Het is verstandig  – als de noodzaak daartoe bestaat – je eigen format te ontwikkelen en niet zo maar een overeenkomst van een klant te tekenen.

b

Handleiding of gids

Is er ook een handleiding of gids – voor wat je allemaal moet doen?

Ja. Op de website van de autoriteit persoonsgegevens kan je een 10-stappenplan vinden en ook de OVAL heeft een “Stappenplan privacy voor dienstverleners” gemaakt, speciaal voor onze branche. Die laatste is overigens alleen voor leden beschikbaar.

b

Datalek

Wat is eigenlijk een ‘datalek’?

Er is sprake van een datalek als anderen onbevoegd kennis genomen hebben van vertrouwelijke persoonsgegevens. Of als je dat niet kan uitsluiten. Dan kan je natuurlijk denken aan een ‘hack’. Maar veel meer voor de hand ligt: de beveiliging in de software of werkprocessen is niet op orde. De ene klant kan bij de gegevens van de andere.

b

ISO 27001

Stel: een arbodienstverlener werkt met Track Software. Hoe weet hij dan dat Track Software de beveiliging van zijn gegevens op orde heeft?

Track heeft alle verwerkingen van persoonsgegevens en alle risico’s goed geïnventariseerd. Alle werkprocessen rond informatiebeveiliging zijn beschreven in een management handboek. Dat handboek en de werkprocessen worden jaarlijks door een onafhankelijke partij beoordeeld.

Track heeft een ISO 27001 informatie beveiligingsmanagement systeem. Dat geeft onze klanten de zekerheid dat het met de beveiliging van hun gegevens goed zit. Zij mogen daarop vertrouwen.

b

Meer informatie

Als ik nou meer informatie wil. Waar kan ik dat vinden?

We hebben een aparte pagina geschreven die ingaat op de vraag wanneer je als arbodienstverlener een verwerkersovereenkomst moet sluiten. Want dat is afhankelijk van de aard van je dienstverlening en de manier waarop je met je klant of je softwareleverancier samenwerkt. Zie deze link.

De website van de Autoriteit Persoonsgegevens bevat het 10-stappenplan. Even googelen.

Als je klant van Track Software bent, kan je ook gewoon even bellen met Klaas. Hij geeft je graag antwoord op jouw vragen.