Privacy

Privacy én daarmee de veiligheid van de gegevens die instanties verzamelen en verwerken staat steeds hoger op de agenda. Of dat nu het gevolg is van (zelf)opgelegde normering zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) of het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG/GDPR), het werkterrein privacy staat volop in de aandacht.

MexonInControl is onze oplossing om grip te krijgen op de zaken die geregeld moeten worden én om een aantal zaken praktisch in te vullen. MexonInControl is daarmee dé compliance beheer oplossing voor de AVG/GDPR. Op deze pagina wordt dat verder toegelicht.

Inschrijven nieuwsbrief Vraag hier meer informatie aan over MexonInControl


Mexon Technology is kennispartner van het
Centrum Informatiebeveiliging en Privacybescherming (CIP)

Waarom is de AVG zo belangrijk?

De noodzaak om als instantie/organisatie/bedrijf/vereniging/stichting naar de impact van de AVG te kijken is groot. Hoewel niet iedereen de wet kan kennen, geldt deze wel voor iedereen! Niets doen of de 'hype' negeren zijn daarom geen verstandige keuzes, o.a. een boete wordt er niet mee voorkomen. Een boete is misschien heel vervelend, maar wat te denken van het vertrouwen in uw organisatie dat hiermee op de tocht komt te staan. De datum waarop de AVG van kracht wordt is 25 mei 2018.

AVG Samengevat

Vanaf 25 mei 2018 is de Wet Bescherming Persoonsgegevens niet langer van kracht, maar treedt de Algemene Verordening Gegevensbescherming (de AVG) in werking. Deze wet heeft vooral tot doel de privacy van de Nederlandse burger te beschermen. De AVG is de Nederlandse versie van de Europese General Data Protection Regulation (GDPR).

Vanaf 25 mei 2018 zorgt de AVG voor het versterken en uitbreiden van de rechten op het gebied van privacy. Dat gebeurt vooral door meer verantwoordelijkheid bij uw organisatie neer te leggen. Iedere organisatie die iets doet met gegevens van personen zal moeten onderzoeken in welke mate zij met deze wetgeving te maken heeft. Noodzakelijk niet in het minst omdat de toezichthouder forse boetes kan opleggen.

Het spreekwoord bezint eer ge begint is in dit geval zeer van toepassing.

Een drietal aspecten zijn van cruciaal belang:
  • Zorg dat er een Data Protection Impact Assessment (een Gegegevensbescherming Effect Beoordeling) wordt gedaan. Daarmee wordt eenduidig vastgesteld of er sprake is van het verwerken van persoonsgegevens. Leg het resultaat (ongeacht de uitkomst) vast!
  • Zorg dat er een Functionaris Gegevensbescherming wordt aangesteld als dat vereist is: zie hier de criteria.
  • Zorg dat nieuwe en gewijzigde applicaties aan de juiste eisen voldoen van Privacy by Design en Privacy by Default.

Op basis van een aantal grondslagen is het toegestaan persoonsgegevens te verwerken:
  • Na expliciete toestemming (zorg dat deze toestemming wordt geregistreerd!);
  • Om vitale belangen te beschermen;
  • Als gevolg van een wettelijke verplichting;
  • Om een overeenkomst na te kunnen leven;
  • Als het Algemeen belang er mee wordt gediend;
  • Als er sprake is van Gerechtvaardigd belang.

Wat moet een organisatie minimaal regelen:
  • Het bijhouden van een register van alle verwerkingen;
  • Zorgen voor beleid rondom het beschermen van gegevens;
  • Adequate (digitale) beveiliging.

De betrokkenen hebben meer mogelijkheden om controle uit te kunnen oefenen. Zorg ervoor dat ze dit recht ook kunnen uitoefenen en uw organisatie er op ingericht is en registreer de aanvragen:
  • Recht op het inzien van de gegevens;
  • Recht om onjuiste gegevens te (laten) corrigeren;
  • Recht om vergeten te worden;
  • Recht om gegevens over te dragen (dataportabiliteit);
  • Recht op informatie.

Bekijk de pdf

Wat moet er in ieder geval gebeuren?

De wetgeving is complex en soms zelfs strijdig op andere wetgeving. Verschillende instanties hebben stappenplannen opgesteld. Omdat in Nederland de Autoriteit Persoonsgegevens (AP) moet toezien op de naleving van de wet hanteert Mexon Technology het 10 stappenplan van de AP. In andere landen en van andere instanties zijn er ook 12 en 13 stappenplannen. Deze stappenplannen (wij van Mexon Technology noemen het overigens aandachtsgebieden omdat het geen volgordelijke stappen zijn) bevatten in grote lijnen dezelfde aandachtsgebieden.
  • Bewustwording (1);
  • Rechten van betrokkenen (2)
  • Overzicht verwerkingen (3)
  • Data Protection Impact Assessment (4)
  • Privacy by Design en Privacy by Default (5)
  • Functionaris voor de gegevensbescherming (6)
  • Meldplicht datalekken (7)
  • Verwerkersovereenkomsten (8)
  • Leidende toezichthouder (9)
  • Toestemming (10)


Nuttige links voor Nederland


Nuttige links voor België


En dat is nog niet alles

Websites en webwinkels
Meer en meer websites (en dus ook webwinkels) verzamelen persoonsgegevens. Soms is dat heel duidelijk zichtbaar omdat deze gegevens nadrukkelijk gevraagd worden. Maar ook zaken die in cookies worden bijgehouden kunnen onder de AVG vallen. Het is dus belangrijk om dit te vermelden en te beschrijven hoe en waarom dit gebeurt.

Een melding van het gebruik van cookies en een verwijzing naar een Privacy statement op website is daarmee een noodzakelijke en nuttige stap.

Alarmbellen bij bijzondere persoonsgegevens
Er zijn gegevens die vallen in de categorie bijzondere persoonsgegevens. Als die gegevens worden verzameld dan worden een aantal zaken verplicht. Zaken als de onderbouwing voor het gebruik van de gegevens, het aanstellen van een Functionaris gegevensbescherming of het uitvoeren van DPIA’s.

Verantwoordelijkheid
Er blijkt nog wel eens onduidelijkheid te zijn over wie er verantwoordelijk is voor de bescherming van de gegevens. Toch is dat erg simpel: de partij die de gegevens verzameld is verantwoordelijk. Zelfs als de administratie bijvoorbeeld "in the cloud" of via "SAAS" wordt gevoerd (er is dan een verwerkersovereenkomst nodig!) blijft de partij de gegevens verzameld verantwoordelijk. Laat u (als organisatie) dus niet afschepen door uw leverancier als u om een verwerkersovereenkomst vraagt. Het is uw plicht om de gegevens te beschermen. Zie hier uitgewerkte regels voor een gemeente.



Met MexonInControl (inclusief het MexonInControl Onderzoeksportaal) bent u in staat grip te krijgen op de noodzakelijke activiteiten en zelfs de vereiste registers in te richten. Lees hieronder meer details over de 10 stappen van de Autoriteit Persoonsgegevens en wat MexonInControl daarvoor kan betekenen.

De toegevoegde waarde van MexonInControl

----------Bewustwording
1 Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.

Onderdeel van de Privacy Baseline van het CIP (beschikbaar voor MexionInControl) zijn maatregelen op het gebied van bewustwording. Met MexonInControl kan de status van deze (en alle andere) maatregelen actief worden onderzocht en worden beoordeeld zodat er een score kan worden toegekend.

----------Rechten van betrokkenen
2 Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.

MexonInControl heeft de mogelijkheid om alle soorten verzoeken te registeren, te bewaken en af te handelen conform vastgelegde workflows. Daarnaast kan de relatie worden gelegd naar maatregelen, applicaties of gegevensverzamelingen. Zo voldoet u aan de registratieplicht, maar heeft u ook een hulpmiddel om de verzoeken efficiënt af handelen.

----------Overzicht verwerkingen
3 Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht.

MexonInControl heeft een eigen verwerkingenregister waarin alle noodzakelijke gegevens worden vastgelegd en gerelateerd aan verwerkers en verwerkersovereenkomst. Maar natuurlijk ook aan applicaties, processen of andere relevante zaken.

----------Data Protection Impact Assessment
4 Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen

Vanuit MexonInControl kunnen onderzoeken zoals een DPIA, maar ook een PIA of andere assessments worden uitgezet naar één of meerdere personen. Voor het invullen van deze onderzoeken is het MexonInControl Onderzoeksportaal ontwikkeld. Resultaten worden automatisch in MexonInControl opgeslagen en gekoppeld aan relevante elementen.

----------Privacy by Design en Privacy by Default
5 Privacy by design houdt in dat u er al bij het ontwerp voor zorgt voor goede bescherming van persoonsgegevens. Privacy by default houdt in dat u maatregelen neemt om alléén noodzakelijke persoonsgegevens te verwerken.

De noodzaak om Privacy by Design en Privacy by Default toe te passen is ook onderdeel van de Privacy Baseline van de CIP. Daarmee is het eenvoudig de verantwoordelijke afdeling/team/persoon de gewenste bewijsvoering aan de maatregel toe te voegen.

De toegevoegde waarde van MexonInControl

----------Functionaris voor de gegevensbescherming
6 Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen (verplicht bij overheidsinstanties). Bepaal nu alvast of dit voor uw organisatie geldt.

Binnen MexonInControl is de noodzakelijke informatie beschikbaar om vast te stellen of een FG nodig is. Daarnaast is MexonInControl bij uitstek hét hulpmiddel waarmee een FG de noodzakelijke regie over de uit de voeren activiteiten en te treffen maatregelen kan voeren. Maar bovenal geeft MexonInControl inzicht in status, voortgang, risico's en KPI's. Daarmee is de FG in control.

----------Meldplicht datalekken
7 U moet een eigen registratie bijhouden van de datalekken die zich in uw organisatie hebben voorgedaan en deze documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.

Naast het administreren van de verzoeken die betrokkenen kunnen doen, kan MexonInControl ook beveiligingsincidenten die tot een datalek kunnen of hebben geleid registreren en afwikkelen. Door het toepassen van beschikbare (of maatwerk) workflows worden deze datalekken volgens de regels afgewikkeld.

----------Verwerkersovereenkomsten
8 Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn en voldoen aan de eisen van de AVG.

In MexonInControl kunnen zowel verwerkingen, verwerkers als verwerkingsovereenkomsten worden geregistreerd, inclusief documenten (ter bewijsvoering) en relevante relaties (samenhang en ketens).

----------Leidende toezichthouder
9 Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Bepaal welke.

MexonInControl geeft eenvoudig inzicht in de verwerkingen en daarmee op de vraag of een leidende toezichthouder moet worden vastgesteld.

----------Toestemming
10 Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. U moet kunnen aantonen dat u geldige toestemming van mensen heeft en het moet makkelijk zijn deze toestemming weer in te trekken.

Maatregelen die vanuit de Privacy Baseline van CIP worden aangereikt om de toestemming te administreren kunnen periodiek met behulp van MexonInControl worden getoetst (opzet, bestaan en werking).

Wilt u weten wat MexonInControl voor u kan betekenen? Neem dan contact met ons op via email sales@mexontechnology.com of telefoon +31 33 432 17 00.