investeren in cybersecurityDe AVG (of internationaal de GDPR) lijkt sinds zijn intrede steeds meer gemeengoed te worden. Toch horen we nog regelmatig over grootschalige datalekken en boetes vanuit de Autoriteit Persoonsgegevens. Om toch een gerechtvaardigd vertrouwen op het gebied van privacy uit te stralen richting uw stakeholders, zou u wellicht graag aantoonbaar maken dat u voldoet aan de privacywetgeving. Maar hoe doet u dat?

Verantwoordingsplicht

De verantwoordelijkheid om aan te tonen dat u aan de Algemene Verordening Gegevensbescherming (AVG) voldoet, ligt bij u. De verantwoordingsplicht (accountability) houdt namelijk in dat u moet kunnen aantonen dat uw verwerkingen van persoonsgegevens voldoen aan de regels van de AVG. Zo moet u bijvoorbeeld kunnen aantonen dat uw verwerking voldoet aan de belangrijkste beginselen: rechtmatigheid, doelbinding, dataminimalisatie en juistheid. Daarnaast moet u aantonen dat u de juiste technische en organisatorische beveiligingsmaatregelen heeft genomen (de beveiligingsplicht). Hiermee wordt u gedwongen om de verwerking van persoonsgegevens goed in te regelen.

Overzicht van de verplichtingen voortkomende uit de AVG? - Download ons AVG  Factsheet 

Maar hoe legt u dan verantwoording af? De Autoriteit Persoonsgegevens (AP) is in Nederland de instantie die toeziet op de AVG. Wanneer zij u vragen om verantwoording af te leggen over uw gegevensverwerkingen, moet u dit kunnen doen. Dit kan het geval zijn wanneer er sprake is van een gemeld datalek of klacht die binnen is gekomen, maar ook op initiatief van de AP zelf als onderdeel van hun eigen steekproefsgewijze projecten en onderzoeken.

Aantoonbaar voldoen

De organisatie moet aantonen dat deze beginselen worden nageleefd. De AVG werkt deze beginsel uit in nadere artikelen waarmee concretere handvatten worden geboden in wat zoal aangetoond moet kunnen worden, zoals:

  • Het bijhouden van een register van de verwerkingsactiviteiten (oftewel uw verwerkingsregister)
  • Het uitvoeren van een Data Protection Impact Assessments (DPIA)
  • Het documenteren van alle inbreuken in verband met persoonsgegevens (oftewel het datalekkenregister)
  • Het bijhouden van verkregen toestemming van betrokkenen
  • De onderbouwing of aanstelling Functionaris Gegevensbescherming (FG) noodzakelijk is of niet

Vergeet niet dat er ook tal van andere verplichtingen op organisatie (kunnen) rusten die niet 1-2-3 uit deze verantwoordingsplicht voortvloeien. Die hangen vaak van de situatie af. Zo zijn eisen gesteld aan eventuele samenwerkingsverbanden in de verwerking van persoonsgegevens en moeten hiermee/-tussen afspraken gemaakt zijn. Denk hierbij onder andere aan verwerkersovereenkomsten. Soms moeten ‘verboden’ aantoonbaar opgeheven worden, zoals wanneer bijzondere persoonsgegevens worden verwerkt of aan niet EER-landen persoonsgegevens worden doorgegeven.

U kunt ook aanvullende maatregelen treffen die u helpen de Autoriteit Persoonsgegevens te overtuigen dat u privacy-naleving serieus neemt, maar ook een belangrijk signaal kunnen afgeven aan uw stakeholders. U kunt hierbij denken aan:

  • Aansluiten bij een gedragscode vanuit uw branche of sector
  • Aansluiten bij een cybersecurity netwerk, zoals CWB of FERM
  • Verantwoording afleggen over de verwerking van de persoonsgegevens in uw jaarverslag
  • Gaan voor certificering die het thema gegevensverwerking en privacy raakt.

Aantoonbaar voldoen aan de AVG door certificering

Om aan uw stakeholders een belangrijk signaal af te geven, is certificering een goede uitkomst. Maar welke certificering raakt de AVG? De AVG zelf heeft bepalingen opgenomen voor certificaten en gedragscodes die door onder andere de AP goedgekeurd kunnen worden. Dit mechanisme is (in Nederland) nog niet erg operationeel, maar er wordt hard gewerkt aan een eerste gedragscode specifiek voor verwerkers. Er zullen de komende jaren nog allerlei initiatieven op dit gebied ondernomen worden maar deze trajecten kennen een lange doorlooptijd. Heeft u vragen over deze initiatieven of hoe u aantoonbaar aan de privacywetgeving kan voldoen? Stel ze aan de TÜV expert op het gebied van cybersecurity:

Stel uw vraag aan onze expert

Wat kan al wel op het gebied van certificering? De bekendste norm is ISO 27001 en voor de zorg NEN 7510. ISO 27001 is de internationale norm op het gebied van informatiebeveiliging en concentreert zich niet specifiek op persoonsgegevens. NEN 7510 houdt al iets meer rekening met zorg-specifieke gevoelige informatie, maar is gebaseerd op ISO 27001. Toch biedt ISO 27001/NEN 7510 u wel een goede basis om een informatiebeveiligingsmanagementsysteem op te tuigen op een gestructureerde manier. U maakt dan met ISO 27001/NEN 7510 ook aantoonbaar dat u waardevolle informatie (waaronder persoonsgegevens) goed beschermt waarmee u aantoonbaar invulling kunt geven aan uw beveiligingsplicht. De relatie tussen informatiebeveiliging en hoe de AP kijkt naar wat een passend beveiligingsniveau is, wordt geïllustreerd in het artikel Wat kunnen we leren van de AVG-boete van Transavia en welke rol speelt ISO 27001 hierin

Wanneer we specifiek kijken naar de bescherming van persoonsgegevens (en daarmee andermans privacy) is er redelijk recent de aanvullende norm ISO 27701 ontwikkeld. Met een ISO 27701 certificaat toont u aan dat u niet alleen uw eigen informatie waarborgt, maar dat u ook de privacy van anderen ook beschermt. ISO 27001/NEN 7510 (en 27002) omvat eisen en richtlijnen met betrekking tot een Information Security Management System (ISMS). Bij de ISO 27701 wordt dit uitgebreid met privacy-specifieke eisen en richtlijnen; een Privacy Information Management System (PIMS). ISO 27701 heeft bovendien rekening gehouden met de geldende privacywetging die er is in de wereld, waaronder de AVG/GDPR. Het is dus geen AVG-certificaat maar het is wel mogelijk om naleving van de AVG aan te tonen met het PIMS. 

Verder is het van belang om ervoor te zorgen dat mensen zich bewust zijn van wat bescherming van persoonsgegevens en daarmee andermans privacy is. Hiervoor richten organisaties allerlei awareness trainingen in en zijn telkens op zoek naar afwisseling hierin omdat awareness een continu aandacht vraagt. In dit palet kan TÜV NORD voorzien met een Privacy Escape Room. Hiermee kan de organisatie privacy awarenss aantonen.

Maak een startpunt met uw AVG aantoonbaarheid

Wanneer u aan de slag gaat met uw privacybeleid en het aantoonbaar maken van compliance aan de AVG, is het handig om een overzicht te hebben waar u precies aan moet voldoen. Zoals de verantwoordingsplicht en andere verplichtingen. Onze privacyexperts hebben dit handige overzicht voor u op papier gezet, zodat u meteen met de voor u geldende regels aan de slag kunt.

Download de AVG Factsheet hier.

New Call-to-action

Onderwerpen:

Alle onderwerpen Wetgeving Certificeren ISO 27001 informatiebeveiliging privacywetgeving AVG ISO 27701

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland