Bescherming klantgegevens: dit moet je weten over de nieuwe verordening AVG

Afgelopen zomer was het een paar keer raak: door een lek in de website van kredietverstrekker AutoCash waren van ruim 20.000 autokopers de privégegevens te zien, waaronder hun maandsalarissen, woonlasten en zelfs alimentatieverplichtingen. Ook 52 leasemaatschappijen hadden lekken, ditmaal met namen, adressen, leasecontracten en zelfs bekeuringen van leaserijders.

Soms wordt zo’n lek tijdig ontdekt, maar vaak liggen persoonsgegevens zomaar op straat. In de media gaat het meestal om lekken bij grote organisaties, met veel negatieve publiciteit tot gevolg.

Persoonsgegevens

Maar het beschermen van persoonsgegevens is al lang niet meer voorbehouden aan multinationals; iedere ondernemer die op welke wijze ook gegevens van zijn klanten opslaat, is daarvoor verantwoordelijk.

Wat is de AVG?

Vanaf 25 mei 2018 geldt in heel Europa de General Data Protection Regulation (GDPR). In het Nederlands heet dat: de algemene verordening gegevensbescherming (AVG). Deze is in het leven geroepen om consumenten te beschermen tegen datamisbruik, met name jonge en kwetsbare mensen.

De AVG stelt het verplicht om de verwerking van persoonsgegevens te registreren. Voortaan geldt in de hele Europese Unie dezelfde privacywetgeving. De AVG vervangt dan ook de Wet bescherming persoonsgegevens (Wbp).

Het mag dan vaak geen opzet zijn, of zelfs geen directe eigen fout, maar als je gevoelige, persoonlijke data morst, ben je als beheerder daarvan toch verantwoordelijk.

Hoe kunnen datalekken ontstaan?

• Door menselijke of technische fouten kun je persoonsgegevens kwijtraken, vernietigen of per ongeluk openbaar maken.
• Je organisatie kan gehackt worden waardoor gevoelige informatie in handen valt van (vaak kwaadwillende) derden.
• Virussen, malware en ransomware die je computernetwerk binnendringen, doordat bijvoorbeeld een medewerker een geïnfecteerde e-mailbijlage opent. Ransomware als WannaCry en Petya gooiden wereldwijd computers op slot om ze pas weer vrij te geven nadat de eigenaar ‘losgeld’ had betaald.

Waarom klantgegevens beschermen?

• Morele plicht naar je klanten toe
• Een lek of hack is slecht voor je reputatie
• Klanten zijn steeds huiveriger om data te delen (en die heb je toch nodig)
• De straffen zijn hoog

1. AVG geldt niet voor kleine ondernemingen

Weliswaar worden er wat concessies gedaan voor het mkb, in principe geldt de AVG toch echt voor alle organisaties die persoonlijke data verwerken. De impact van de AVG op jouw onderneming hangt volgens time.lex af van de manier waarop data worden verwerkt, en niet van het aantal datarecords of de grootte van de organisatie. Het kantoor beveelt aan ervan uit te gaan dat de verordening geldt voor ‘iedere onderneming die met een commercieel belang identificeerbare persoonlijke gegevens verwerkt’.

2. Onze onderneming versleutelt data, dus we voldoen aan de AVG

Het versleutelen van data, oftewel data-encryptie, is een prima begin maar eigenlijk niet meer dan een eerste vereiste. Extra maatregelen zijn vrijwel altijd onmisbaar. Ondernemingen moeten meer doen om persoonlijke data te beschermen, zoals tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.

3. Wij bewaren data in de cloud, dus zijn de cloudprovider en securityprovider verantwoordelijkheid voor databeveiliging

Weer zo’n misverstand. De AVG is niet alleen van toepassing op bedrijven die data opslaan, maar ook op de ondernemingen die deze data verwerken. Dus ook als een ondernemer gegevens opslaat bij externe providers, valt hij zelf onder de AVG (zie ook: outsourcing).

110 miljoen boete

Partijen die met persoonsgegevens werken, merkten al eerder wat de risico’s zijn. Denk maar aan de boete van 110 miljoen euro die Facebook in mei door de Europese Commissie kreeg opgelegd omdat het gebruikersgegevens stiekem koppelde aan die van dochterbedrijf WhatsAppp.

Maar als op 25 mei de AVG in werking treedt, kunnen organisaties echt niet langer om de noodzaak voor robuuste praktijkregels heen, want dan gaan de boetes nog veel hoger uitvallen.

Gemiddeld kunnen bedrijven 20 miljoen euro per overtreding tegemoet zien of 4 procent van de mondiale omzet (afhankelijk van welke van de twee hoger is).

Ruïneren

De BBC vroeg in een artikel in juli: ‘Kunnen de nieuwe datawetten jouw bedrijf ruïneren?’ De Britse omroep stelde dat veel organisaties, ondanks de enorme boetes, niet klaar zijn voor de nieuwe regelgeving.

In het stuk waarschuwt KPMG’s Mark Thompson: ‘Veel bedrijven hebben geen idee wat ze moeten doen en draaien om de hete brij heen. Er is momenteel veel verkeerde informatie en paniek, maar als bedrijven hiervoor geen verantwoordelijkheid nemen op bestuursniveau, dan gaan ze falen. Dit zal ieder bedrijfsonderdeel raken.’

Megabedrijven als Facebook kunnen daar tussen nu en 25 mei teams van juridische en privacy-experts op loslaten. Toch moet en kan ook de gemiddelde mkb’er zich voorbereiden.

Wat kun je zelf doen?

• Veel gevaren rond persoonlijke data kunnen vrij eenvoudig worden vermeden. De DDMA, de brancheorganisatie voor data-driven marketing, geeft een paar handige tips:
• Laat medewerkers zo min mogelijk persoonsgegevens opslaan op hun lokale harde schijven. En zorg ervoor dat zij bestanden met persoonsgegevens (of kopieën daarvan) na afloop van een project verwijderen van lokale apparatuur en externe gegevensdragers, zoals usb-sticks.
• Als je oude hardware vernietigt of verkoopt, zorg er dan voor dat de persoonsgegevens daarop onleesbaar zijn gemaakt of zijn overschreven. Het is niet genoeg om bestanden alleen te verwijderen, kwaadwillenden kunnen die altijd terugvinden op de harde schijf.
• Als je medewerkers software kunnen downloaden en installeren op bedrijfsapparatuur, zorg er dan voor dat ze dat niet kunnen doen op apparaten die toegang hebben tot persoonsgegevens.
• Als je bezoekers toegang geeft tot een (draadloos) gastennetwerk, beveilig dat dan met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie. Creëer een afzonderlijk draadloos gastennetwerk en scherm dat af van andere apparaten in je netwerk en/of het hoofdnetwerk van de router.
• Gebruik extranet of een sftp-server (een veilige manier voor het versturen van bestanden van je computer naar de server) wanneer je bestanden met persoonsgegevens deelt. Verstuur ze niet als excel in een mail. Als je organisatie toch zulke bestanden uitwisselt per e-mail of fysieke gegevensdragers dan raadt de Autoriteit Persoonsgegevens aan om ze goed te versleutelen.
• Als je medewerkers ‘op afstand’ mogen inloggen op bedrijfsnetwerken, bijvoorbeeld vanuit huis of een vanaf een publiek netwerk, dan moeten zij daarbij extra voorzichtig zijn want zulke netwerken zijn gevoeliger voor ‘inbraak’. Vermijd waar mogelijk openbare netwerken en/of gebruik een beveiligde verbinding, zoals VPN.

Experts inschakelen?

Ondernemers zullen het liefst zelf een probleem oplossen voordat ze naar een (dure) expert stappen. Maar dat is niet altijd een optie als het om ingewikkelde technologische vraagstukken als data-encryptie draait. Er zijn tal van firma’s die daarbij kunnen helpen.

Eigen stoep schoonhouden

Let vooral ook op datastromen binnen de eigen organisatie. Wat voor data heb je in huis? Wat deel je daarvan met andere bedrijven? Waar zijn die bedrijven gevestigd; in Nederland, Europa, elders? Overal gelden andere wetten en regels qua dataopslag en privacy. Je mag de gegevens van Europese burgers niet zomaar delen met andere landen. Heb je je klanten verteld wat er met hun data gebeurt? Wees daarover transparant.

Outsourcing

Veel bedrijven besteden allerlei diensten uit. Outsourcing dus. Logisch, je hebt niet alle kennis in huis. Neem bijvoorbeeld marketing. Daar gebruiken organisaties vaak Mailchimp voor. Maar, zeggen Tomas Salfischberger (Relay42) en Kors Monster (ICTRecht) op de site van reclamevakblad adformatie.nl: ‘Mailchimp maakt weer gebruik van een infrastructuur en apparatuur buiten de eigen organisatie. Hier heb je als corporate organisatie geen grip op, maar je bent er wel verantwoordelijk voor.’

Ze waarschuwen dat de hele keten vanaf 25 mei transparant moet zijn en de opdrachtgever moet weten welke afspraken er met welke partijen zijn. ‘Ook moeten klanten een seintje krijgen als er nieuwe partijen worden ingeschakeld. Dit vormt alles bij elkaar een flinke administratieve klus.’

Privacy-toetsing

Wanneer je als toeleverancier vaak met grote corporaties werkt dan kun je soms een ‘privacy impact assessment’ (PIA) verwachten. Met deze tool worden de privacyrisico’s van een project bepaald. Een PIA helpt de kansen verkleinen dat de persoonsgegevens van een individu worden misbruikt, en om processen rond zulke data efficiënter te maken. Opdrachtgevers gebruiken een PIA om te bepalen of ze met jou als organisatie willen samenwerken. Goed dus om van te voren te weten of je deze toets doorstaat, bijvoorbeeld door je systemen door te lichten met je technologiepartners.

Meldplicht

Als het ondanks al je inspanningen om data af te schermen toch een keer fout gaat, en er persoonsgegevens op straat liggen, dan ben je al sinds 1 januari 2016 verplicht dit te rapporteren. Volgens de Meldplicht Datalekken moet je zo’n incident binnen 72 uur melden, anders kunnen boetes het gevolg zijn. De DDMA heeft een handleiding opgesteld met daarin 3 stappen en 5 tips om op correcte wijze een lek te melden.

Fair Data

Door alle horrorverhalen over gelekte gegevens, worden consumenten steeds banger om data met je te delen. Ze willen weten hoe je met hun gegevens omgaat en wie de data beheren.

Om het vertrouwen wat te herstellen introduceerde de MOA, de Nederlandse brancheorganisatie voor marktonderzoek en digital analytics, dit jaar het Fair Data-keurmerk. Daardoor moeten mensen in een oogopslag zien welke organisaties eerlijk omspringen met consumentendata. Bedrijven die meedoen aan het keurmerk zijn volgens de MOA behoorlijk toekomstbestendig. Ze moeten zich dan wel aan tien regels houden die aansluiten op andere standaarden, zoals ISO’s en databescherming-wetgeving.

Het goede voorbeeld: EZ

Economische Zaken houdt een register bij van alle verwerkingen van persoonsgegevens binnen het ministerie. Het centrale meldingenregister moet helemaal AVG-proof worden gemaakt. EZ zegt hiervoor een handige tool te hebben.

In het register staan alle processen rond het verwerken van persoonsgegevens binnen het ministerie. Het kan gaan om een subsidie- of belastingadministratie, of om cameratoezicht; allemaal gevallen waarin persoonsgegevens worden opgeslagen, bewaard of verspreid. Het register is openbaar en elke melding bevat een korte beschrijving van de soorten gegevens die worden verwerkt, waarvoor ze zijn verzameld, wat ermee wordt gedaan en wie verantwoordelijk is voor de verwerking. Vijf departementen gebruiken het register al (EZ, Fin, BZ, AZ en BZK).

Elk nadeel heb zijn voordeel…

De nieuwe regelgeving mag dan investeringen en de dreiging van hoge boetes meebrengen, er valt ook een positieve draai aan te geven. Behalve dat het voor iedere burger cruciaal is dat er secuur en ethisch met persoonsgegevens wordt omgegaan, kan het bedrijven ook voordelen opleveren.

De Britse toezichthouder op gegevensbescherming, de Information Commissioner's Office (ICO) stelt: ‘De nieuwe wet betekent hogere boetes voor als je het fout doet, maar kijk vooral ook naar de bedrijfsvoordelen voor wie databescherming goed doet. Het biedt een uitgelezen kans aan organisaties om zich te profileren op basis van hoe zij de privacy van individuen respecteren. Daarmee kunnen zij concurrentievoordeel behalen.’