Het uitwisselen van belangrijke persoonsgegevens wordt door de AVG heel breed gezien. Het invoeren van gegevens in een uitzendsoftware die niet op uw eigen server staat, valt hier bijvoorbeeld ook al onder. Het is dus belangrijk om vast te stellen welke andere organisaties belangrijke persoonsgegevens voor u verwerken. Volgens de AVG blijft uw organisatie namelijk verantwoordelijk voor al deze gegevens, dus zullen er duidelijke afspraken met alle interne én externe ‘verwerkers’ gemaakt moeten worden. Al deze afspraken kunnen vastgelegd worden in een verwerkingsovereenkomst.
Allereerst moet u weten welke belangrijke persoonsgegevens uw bedrijf allemaal verwerkt. Daar kunt u hier meer over lezen. Als het goed is heeft u alle persoonsgegevens vastgelegd in een verwerkingsregister. De volgende stap is om na te gaan wie de verwerker en wie de ‘verwerkingsverantwoordelijke’ is. De AVG stelt dat degene die het doel en de middelen bepaalt de ‘verwerkingsverantwoordelijke’ is. Deze zal uiteindelijk het initiatief moeten nemen tot het sluiten van een verwerkingsovereenkomst. In de AVG staan afspraken die u verplicht moet maken met uw verwerker. U zult dus per partij moeten inventariseren met wie u persoonsgegevens uitwisselt en wie het doel en de middelen bepaalt. Beide partijen hebben specifieke plichten om de beveiliging van deze gegevens goed te regelen.
Het is ook van belang om samen met de verwerker te kijken naar welke beveiligingsmaatregelen er door de verwerker getroffen moeten worden. Dit verschilt per gegevensverwerking. Het is het beste om dit contractueel vast te leggen en dit door de ICT-afdeling, de systeembeheerder en/of de security officer na te laten kijken.
Naast een verwerkingsovereenkomst, zal uw bedrijf ook moeten voorzien in een datalekprotecol met adequate procedures om datalekken op te sporen, te rapporteren en te onderzoeken. Hierbij is het belangrijk dat uw medewerkers weten wat het verschil is tussen een beveiligingslek en een datalek. Dit verschil is belangrijk omdat een beveiligingslek niet verplicht gemeld hoeft te worden, terwijl het melden van een datalek wel verplicht is. We spreken van een datalek als er sprake is van toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Voorbeelden hiervan zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Er is een toename aan criminaliteit binnen het stelen van informatie, omdat dit veel oplevert. Maar een datalek kan ook al ontstaan door gevoelige informatie naar de verkeerde persoon te mailen of door naïviteit van onszelf door bijvoorbeeld te makkelijke wachtwoorden te gebruiken. Als er alleen sprake is van een zwakke plek in de beveiliging, dan spreken we van een beveiligingslek en niet van een datalek. Een beveiligingslek hoeft dus niet verplicht gemeld te worden. Het is belangrijk dat medewerkers van uw organisatie een beveiligingslek of datalek kunnen melden op een eenvoudige en toegankelijke manier, bijvoorbeeld via een opgesteld formulier op uw intranet. Daarnaast zult u alle meldingen moeten vastleggen, waarvoor weer een apart register noodzakelijk is.
Meer weten over de Privacy Impact Assessment (PIA) en hoe u deze uitvoert? Lees dan hier artikel 4. < TERUG