Nieuwe Europese Privacy wetgeving: is ISO 27001 het antwoord?

Wat is de impact van de Algemene Verordening Gegevensbescherming, zoals de nieuwe privacywet heet, voor jouw organisatie? Lees snel verder.

Nieuwe Europese Privacywet 2018
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De nieuwe Europese privacywet: Veel organisaties verkeren daardoor in onzekerheid. Wat moet er precies gebeuren? Moet het ISO 27001 certificaat worden gehaald om de informatiebeveiliging op orde te brengen? Is dat de oplossing? Wat is de impact van de Algemene Verordening Gegevensbescherming, zoals de nieuwe privacywet heet, voor jouw organisatie? Deze vragen spelen al enige tijd een rol bij veel bedrijven. En begrijpelijk. De nieuwe AVG-wet is een complexe en ingrijpende wet. In dit blogartikel geven we daarom meer inzicht over de ISO 27001 AVG relatie.

Disclaimer: in dit blogartikel gaan we zo goed mogelijk in op de nieuwe Europese privacywet en de ISO 27001 AVG relatie. Hiervoor is onderzoek gedaan op internet en wij hebben ISO 27001 informatiebeveiliging specialisten in huis. Desondanks zijn zij géén jurist. Aan dit artikel kunnen daarom geen rechten worden ontleend.

Zweetdruppels…

…dat veroorzaakt de nieuwe privacy wet bij veel mensen. Maar wat betekent deze wet nou voor ons als adviesbureau en voor onze klanten? Bij onze klanten zorgt de nieuwe wet ook voor zweetdruppels. In de directiekamers wordt druk overlegd wat er gedaan moet worden om aan de nieuwe wet te voldoen. De torenhoge boetes vliegen je namelijk om de oren. Maar liefst € 20 miljoen of tot 4% van de jaaromzet van je bedrijf.

Waarom een nieuwe Europese privacywet?

De komst van de nieuwe wet heeft alles te maken met… de veroudering van bestaande wetgeving. Logischer kan het niet. Door alle ontwikkelingen van de afgelopen decennia, met name digitaal, is wet- en regelgeving met betrekking tot privacy- en gegevensbeveiliging gaan achterlopen. De Wet Meldplicht Datalekken die op 1 januari is ingegaan, is hier een maatregel op.

Omdat deze wet slechts over een specifiek onderwerp gaat (datalekken), is er ook gewerkt aan een algemene Europese wet: de Algemene Verordening Gegevensbescherming. Hiermee wordt voor alle lidstaten van de EU de wetgeving over dit onderwerp gelijk getrokken. Ook voor Nederland, dus Nederlandse bedrijven ‘moeten hier wat mee’.

Wat houdt de nieuwe Europese privacywet in?

De Verordening of privacywet, is gebaseerd op zes principes waaraan iedere verwerking van persoonsgegevens moet voldoen.

  • Rechtmatigheid: De persoonsgegevens moeten op een behoorlijke en transparante manier verwerkt worden.
  • Doelbinding: Limiteren van het gebruik van gegevens. Je moet dus uitdrukkelijk omschrijven voor welke (gerechtvaardigd) doel de gegevens worden gebruikt. Dit principe eist ook een aantal formele vastleggingen die gekoppeld zijn aan het register van gegevensverwerkingen. Bovendien moet je gebruikte systemen voor gegevensverwerking periodiek toetsen.
  • Minimalisatie van gebruik van persoonsgegevens: Je mag alleen gegevens verwerken (bijvoorbeeld in informatiesystemen, maar ook gewoon op papier) die een specifiek doel ondersteunen. Bovendien mogen de gegevens alleen toegankelijk zijn voor mensen die de gegevens nodig hebben voor hun functie.
  • Juistheid: De gegevens die verwerkt worden moeten juist en actueel zijn.
  • Opslagbeperking: Je moet de verwerkte gegevens anonimiseren of verwijderen als het niet meer noodzakelijk is om personen te kunnen identificeren.
  • Integriteit en vertrouwelijkheid: De integriteit van persoonsgegevens moet permanent worden gegarandeerd. Je moet daarvoor de juiste technische en organisatorische maatregelen treffen.

Een aantal belangrijke punten uit de AVG zijn:

Het opstellen van een bewerkersovereenkomst
Hierbij stelt de partij die verantwoordelijk is voor de persoonsgegevens een overeenkomst op met de partij die de persoonsgegevens verwerkt. Dit was al verplicht vanuit de WBP, maar vanuit de Europese privacywet moeten er een aantal specifieke punten opgenomen worden, zoals:

  • de doeleinden van de gegevensverwerking;
  • het soort persoonsgegevens dat verwerkt wordt;
  • het passend beveiligen van de gegevens;
  • het uitvoeren van audits.

Altijd, maar dan ook altijd rekening houden met privacy
In de privacywet wordt dit ‘privacy by design and by default’ genoemd. Wat inhoud dat je altijd rekening moet houden met privacy bij het ontwikkelen van producten en diensten. Ook de standaardinstellingen van een product of dienst moeten ‘privacy proof’ zijn.

Uitvoeren van een Privacy Impact Assessment (PIA)
Dit geldt niet voor alle bedrijven. Met een PIA breng je de privacyrisico’s van gegevensverwerking in kaart. Je moet altijd een PIA uitvoeren als je:

  • Een zogenaamde high risk organisatie bent. Dus als de gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Dit geldt dus voor banken, verzekeraars, ministeries, etc.
  • Aan profiling doet, met name met behulp van nieuwe technologieën.
  •  Op grote schaal en systematisch mensen volgt in openbare ruimten.
  • Persoonsgegevens doorgeeft aan landen buiten de EU.

Aantoonbaarheid en verantwoordelijkheid
Iedere organisatie moet met documenten kunnen aantonen dat zij de juiste maatregelen hebben genomen om aan de privacywet te voldoen. Je bent hier dus zelf verantwoordelijk voor.

Aanstellen Functionaris Gegevensbescherming (FG)
Dat is iemand die toezicht houdt op de toepassing en naleving van de Europese privacywet. In drie situaties is een FG in ieder geval verplicht:

  • Voor overheden en publieke organisaties. Bijvoorbeeld gemeenten, provincies, maar ook zorginstellingen.
  • Voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen.
  • Voor organisaties die op grote schaal en als kernactiviteit bijzondere persoonsgegevens verwerken. Dat zijn bijvoorbeeld gegevens over gezondheid, ras of politieke overtuigingen.

Dataportabiliteit
De betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) heeft het recht om zijn gegevens op te vragen in een standaardformaat. Zo kan hij het bijvoorbeeld bij een andere dienstverlener onderbrengen. Bovendien heeft hij ook het recht om vergeten te worden. Dat was altijd al zo, maar nu moet de verantwoordelijke (dat is degene die de persoonsgegevens verwerkt) er ook voor zorgen dat die gegevens worden verwijderd bij andere databanken waarvan hij weet dat ze daar in beland zijn.

Een leidende toezichthouder
Het kan voorkomen dat organisaties grensoverschrijdende gegevensverwerkingen uitvoeren. Dat is het geval als een organisatie gegevens verwerkt in meerdere EU-lidstaten óf als de verwerkingen in meerdere lidstaten impact hebben. Hierbij geldt dat je maar zaken hoeft te doen met één toezichthouder. De hoofdregel is dat dit de toezichthouder is in het land waar de hoofdvestiging van de organisatie gevestigd is. In Nederland is dat de Autoriteit Persoonsgegevens.

Bovenstaande is slechts een klein aantal belangrijke punten uit de Europese privacywet en zeker niet uitputtend. Neem contact op voor een vrijblijvend advies over jouw specifieke situatie.

De Wet Bescherming Persoonsgegevens (WBP)

Een van de bekendste privacywetten in Nederland, is de Wet Bescherming Persoonsgegevens (WBP). Met de komst van de Europese privacywet komt de WBP te vervallen. Twee concrete gevolgen hiervan zijn:

  • De algemene meldplicht van gegevensverwerking wordt afgeschaft, mits je een eigen register bijhoudt (registerplicht). Dit moet je overigens niet verwarren met de Meldplicht Datalekken, wat weer een onderdeel is van de Europese privacywet.
  • In de WBP was de verwerking van identificatienummers, zoals BSN, verboden. In de AVG is dat niet meer het geval. Je moet wel rekening houden met het feit dat Nederland aanvullende voorwaarden kan opstellen voor de AVG. Het is nog afwachten hoe de Nederlandse overheid hier mee omgaat.

De impact van de AVG op jouw organisatie

De hamvraag is natuurlijk wat de privacywet voor jouw organisatie betekent. Moet je veel maatregelen treffen? Moet je misschien iemand in dienst nemen die het informatiebeveiligingsbeleid en de toepassing van de AVG bewaakt?

Laat ik stellen dat in dit soort gevallen de soep meestal niet zo heet wordt gegeten als dat ze wordt opgediend. Dat betekent echter niet dat je hier niets mee moet. Zeker niet als je persoonsgegevens verwerkt. Als ik het betrek op CertificeringsAdvies Nederland, zie ik dat wij de mogelijkheid aanbieden om je in te schrijven voor opleidingen via onze website. Vervolgens kan het ook nog zo zijn dat deze persoonsgegevens worden doorgegeven aan samenwerkingspartners. In ons geval moeten wij dus contracten en overeenkomsten herzien en waarschijnlijk aanpassen. Bovendien zullen we hier wat over moeten zeggen bij het inschrijfformulier in de vorm van een privacyverklaring.

Lastiger wordt het als je zaken doet met buitenlandse ondernemingen. Een bewerkerovereenkomst aanpassen is niet zo eenvoudig en niemand wil verantwoordelijk zijn.

De impact van de Europese privacywet op jouw organisatie is daarom situatie afhankelijk. Ben je dienstverlener en twijfel je over de aanpak die je moet volgen? Neem dan zeker contact op met een specialist. Dat kan een jurist zijn voor de interpretatie van de wet binnen jouw situatie, of een informatiebeveiliging specialist om hier maatregelen voor te treffen.

Is ISO 27001 het antwoord?

Nee, ISO 27001 is geen antwoord, in de zin van een garantie of iets dergelijks. In een ISO norm worden richtlijnen en voorwaarden beschreven waaraan een managementsysteem moet voldoen. Dat managementsysteem helpt vervolgens om goed om te gaan met bepaalde onderwerpen. In het geval van ISO 27001 gaat dat over informatiebeveiliging.

Je ziet dat ISO 27001 bij AVG wel een hulpmiddel is. In de norm wordt namelijk geëist dat je geldende wet- en regelgeving bijhoudt. Bovendien toon je met het ISO 27001 certificaat aan dat je serieus met gevoelige informatie omgaat. Je voert immers een risicoanalyse uit en daaruit volgen passende maatregelen. Dat betekent niet dat je geen boete kunt krijgen, maar wel dat je zaken aantoonbaar maakt. Zeker voor dienstverleners die persoonsgegevens verwerken is dit ook een PR-instrument. Kortom, er is dus wel degelijk een ISO 27001 AVG relatie.

Tot slot

We hopen dat dat je door dit artikel meer inzicht hebt gekregen in de Europese privacywet. Vanaf 25 mei 2018 is iedere organisatie verplicht om hier aantoonbaar aan te voldoen. Voor organisaties kan dit dus veel werk met zich meebrengen. Voor de consument is deze wet echter een stap in de goede richting.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields