Direct naar de inhoud Direct naar het menu Direct naar de zoekfunctie Direct naar de footer

Breng je nieuwe software en systemen in lijn met de AVG: een stappenplan

Veel organisaties hebben de afgelopen tijd, noodgedwongen door de coronacrisis, extra software en nieuwe systemen aangeschaft. In veel gevallen om werken op afstand mogelijk te maken, of om het delen van bestanden en onderlinge communicatie te vergemakkelijken. Door de snelheid waarmee deze keuzes moesten worden gemaakt, kan het zijn dat er niet voldoende rekening is gehouden is met informatieveiligheid en de eisen die de Algemene Verordening Gegevensbescherming (AVG) stelt bij het delen van gegevens via software of systemen.

We presenteren daarom een stappenplan dat je in je organisatie kunt gebruiken voor het in lijn brengen van de huidige systemen met de eisen uit de AVG.

Auteur: Arvid van Bokhorst

 

Om je systemen goed te kunnen gebruiken, moet je goede afspraken maken met je leverancier, maar ook je software op de juiste manier instellen en medewerkers goed instrueren. Het stappenplan geeft je de structuur om met deze aspecten aan de slag te gaan. Nadat je de stappen hebt doorlopen, weet je of je systemen AVG-proof zijn en waar nog eventuele aanpassingen nodig zijn. 

Naast de acht stappen in het stappenplan bieden we je ook een template aan om per leverancier een check uit te voeren, een checklist voor nieuwe systemen en extra informatie over AVG en informatiebeveiliging. Het gehele stappenplan, inclusief de templates (1), checklist (2) en extra informatie (3), is ook als pdf te downloaden.

Download het volledige stappenplan als pdf

Zelf aan de slag? Schrijf je in voor de workshop

DEN organiseert op 10 & 17 november een tweedelige workshop waarin je zelf aan de slag gaat met het stappenplan onder leiding van specialist Arvid van Bokhorst. Er zijn nog enkele plekken, dus schrijf je (gratis) in!

Adviezen

De volgende adviezen zijn goed om te hanteren wanneer je een nieuw systeem of nieuwe software implementeert. Met deze adviezen leg je de basis voor het AVG-proof maken van je infrastructuur.

  • Als een systeem de optie biedt, gebruik dan altijd 2-stapsverificatie.
  • Pas altijd de privacyinstellingen aan. Standaard deel je vaak meer informatie dan nodig is om gebruik te kunnen maken van de dienst of software. Denk aan Google, Zoom en andere applicaties.
  • Instrueer medewerkers hoe ze systemen veilig gebruiken. Denk aan het uitzetten van video bij Zoom of het niet opnemen van meetings.
  • Gebruik alleen zakelijke e-mailadressen.
  • Stel een dataprotocol (de do’s en don’ts in omgang met gegevens) op.
  • Verzamel nooit meer persoonsgegevens dan strikt noodzakelijk voor wat je ermee van plan bent.
  • Werk alleen met betrouwbare leveranciers. Deze zijn herkenbaar aan een onafhankelijk keurmerk als ISO of bewezen diensten bij collega’s. Onzeker? Doe zelf onderzoek, bijvoorbeeld door de leverancier te vragen naar informatie over certificering of door bij collega-instellingen te vragen om ervaringen.

Vaak geïmplementeerde systemen zijn bijvoorbeeld:

  • Asana
  • Basecamp
  • Google Drive
  • Google Survey
  • Mailchimp
  • Microsoft (Teams, Sharepoint, etc.)
  • Slack
  • SurveyMonkey
  • WeTransfer
  • Zoom

Stappenplan bestaande systemen

Inventariseren, toetsen en herstellen van bestaande leveranciers
 

STAP 1

  • Breng je leveranciers in kaart.
  • Vraag je administratie en systeembeheerder om een lijst met leveranciers
  • Houd rekening met “gratis” systemen als Google Analytics, Zoom en Dropbox.

STAP 2

  • Stel vast welke leveranciers omgaan met persoonsgegevens of bedrijfsgevoelige gegevens.
  • Zie de template onder #1.

STAP 3

  • Verwijder alle leveranciers die niet voldoen aan de criteria van stap 2 uit de selectie.
  • Voor de volledigheid zou je kort kunnen aantekenen waarom je deze leveranciers niet hebt meegenomen.

STAP 4

  • Maak bij persoonsgegevens onderscheid tussen interne en externe verwerkingen.
  • Zie de template onder #1.

STAP 5

  • Prioriteer de leveranciers die overblijven op de impact die ze hebben op de doorgang van bedrijfsprocessen.
  • Als deze leverancier omvalt, blijft de boel dan wel gewoon draaien?

STAP 6

  • Maak een overzicht van verwerkingen per leverancier.
  • Zie de template onder #1.

STAP 7

  • Conclusie per leverancier. 
  • Zie de template onder #1.

STAP 8

  • Maak een (actie)planning.
  • Welke eventuele onvolkomenheden pak je als eerste aan?

 

1. Template leverancier inventarisatie

  • Zorg dat je onderstaande gegevens beschikbaar hebt van leveranciers en gebruikte systemen 
  • Vergeet niet “gratis leveranciers” als Google, Dropbox etc., eigen systemen of Excellijsten die circuleren in je organisatie mee te nemen in dit overzicht.
  • Pas het template aan de specifieke eigenschappen van je eigen organisatie aan.
  • Check periodiek (bijvoorbeeld jaarlijks) of deze lijst nog up-to-date is
  • Mocht je organisatie beschikken over een systeem voor contractmanagement (bijvoorbeeld een ERP-systeem, een Excelsheet of een overzicht in de boekhouding), dan is het aan te raden dit template ermee te combineren
  • Gebruik samenwerking en projectmanagementtools als Trello en Asana om beheer makkelijker te maken. Let er daarbij op dat je ook bij deze systemen het stappenplan doorloopt voor een AVG-proof implementatie.

Download hieronder de template als pdf om per leverancier in te vullen.

Download de template leverancier inventarisatie

 

2. Checklist nieuwe systemen

 

Doorloop bij aanschaf van een nieuw systeem of dienst de volgende checklist.

  1. Welke gegevens ga ik in dit systeem verwerken?
  2. Zitten daar gevoelige gegevens bij? (Medisch, financieel, gegevens van kinderen (bijvoorbeeld op je educatie-afdeling))
  3. Ga ik dit systeem inzetten voor verwerking van gegevens voor anderen? (Denk aan een kaartverkoopsysteem dat je voor anderen inzet)

De antwoorden op bovenstaande drie vragen bepalen waar je rekening mee moet houden bij het kiezen van een systeem.

Stel vervolgens de volgende zaken vast of beantwoord de volgende vragen:

  1. Is het een betrouwbare leverancier die werkt voor vergelijkbare organisaties?
  2. Is het een Europees systeem? (Systemen die in Europa opereren en gegevens van Europese burgers verwerken, zijn namelijk al direct verplicht om zich aan de wetgeving rondom gegevensbescherming te houden)
  3. Heeft de leverancier een eigen verwerkingsovereenkomst; is de leverancier bereid om er een van jouw organisatie te tekenen of zijn verwerkingen onderdeel van algemene voorwaarden?
  4. Is expliciet opgenomen dat geen gegevens worden doorgeven aan derden of gebruikt voor zaken anders dan overeengekomen?
  5. Zijn ze benaderbaar in geval van een probleem of datalek?

De antwoorden op bovenstaande vragen helpen bij het maken van een weloverwogen besluit of vergelijking van verschillende leveranciers.

Download hieronder de checklist als pdf.

Download de checklist nieuwe systemen

 

3. Meer informatie over AVG en informatiebeveiliging

 

Hierna volgt enige context ten aanzien van AVG en informatiebeveiliging van gebruikte systemen. 

 

Belangrijke factoren om rekening mee te houden bij verwerking van persoonsgegevens

Wanneer je met persoonsgegevens of bedrijfsgevoelige gegevens werkt, zijn er een aantal “triggers” waar je extra alert bij moet zijn. Want hoe je het ook regelt, jij blijft volgens de AVG verantwoordelijk voor het verwerken van persoonsgegevens. Let dus op deze “triggers”:

  • Verwerk je gegevens voor je eigen organisatie of voor een andere organisatie (bijvoorbeeld wanneer je een dienst levert)?
  • Zijn de gegevens die je verwerkt op een of andere manier gevoelig (medisch, minderjarigen, financieel etc.)?
  • Worden ze opgeslagen in Europa?
  • De Autoriteit Persoonsgegevens en de AVG eisen dat je persoonsgegevens verantwoordelijk, veilig en binnen de kaders van de wet persoonsgegevens verwerkt. Maar ook bedrijfsgevoelige gegevens als jaarrekeningen en prognoses wil je niet per ongeluk verkeerd delen. Het is belangrijk om je keuzes regelmatig te controleren en een plan te maken voor het oplossen van eventuele problemen om te blijven voldoen aan je eigen eisen en die van de AVG. Dat toont ook aan dat je professioneel met gegevens omgaat. Wanneer je als instelling subsidie ontvangt, maakt dit ook onderdeel uit van je risicobeheersing, waarover je jaarlijks in het bestuursverslag verantwoording aflegt.
Waar moet je op letten in algemene voorwaarden of verwerkingsovereenkomst?

Er zijn (juridische) experts die je kunnen helpen. Bij twijfel kun je de hulp van deze personen inschakelen. Daarnaast zijn er ook zaken waar je zelf al rekening mee kunt houden.

Wettelijk moet je een aantal zaken regelen:

  • Het eigendom van gegevens
  • Doorgifte en gebruik van gegevens
  • Geheimhouding van gegevens
  • (Informatie)veiligheid van gegevens

Hierover maak je afspraken. Vaak doe je dat als onderdeel van algemene voorwaarden bij grotere leveranciers als Google en Microsoft. Dan heb je zelf niet altijd voldoende opties om aan de AVG te blijven voldoen. Werk daarom als het even kan met een aparte geheimhoudingsovereenkomst en verwerkingsovereenkomst. Daarnaast kun je met sommige bedrijven in de leveringsvoorwaarden en met specifieke overeenkomsten ook van alles regelen. In dat geval is het zeker raadzaam om een (juridisch) expert in te schakelen.

Het is daarnaast ook raadzaam om regelmatig (bijvoorbeeld jaarlijks) te checken of er wijzigingen zijn in de voorwaarden van je leveranciers. Dit is voor gesubsidieerde instellingen ook onderdeel van de aanpak ten aanzien van je risicobeheersing.

We adviseren om de volgende passages in overeenkomsten extra zorgvuldig te lezen:

  • Aansprakelijkheid - de AVG stelt dat zowel jouw instelling als de leverancier aansprakelijk zijn naar de betrokkene. Je kunt dus niet de volledige verantwoordelijkheid bij je leverancier neerleggen. Omgekeerd kan de leverancier dat ook niet volledig bij jou neerleggen.
  • Soort gegevens - stel vast dat de gegevens die de leverancier zegt te verwerken, overeenkomen met wat je hebt afgesproken.
  • Verwerking op Europees grondgebied of volgens de in Europa geldende standaarden - Dit is een actueel punt: zorg ervoor dat je leverancier de persoonsgegevens in Europa verwerkt of zich aan goedgekeurde afspraken houdt.
    LET OP: in de zomer van 2020 is een uitspraak van het Europees Hof gedaan, waarin werd gesteld dat de EU-VS Privacy Shield herzien moet worden. De EU-VS Privacy Shield is een overeenkomst over de bescherming van persoonsgegevens van burgers van de Europese Unie, die in de Verenigde Staten worden verwerkt. Voor Amerikaanse leveranciers als Google, Zoom en Microsoft kan deze veranderende wetgeving dus ineens heel actueel worden.
  • Eigen verwerkingsovereenkomst of onderdeel Algemene Voorwaarden - je bent wettelijk verplicht om hier afspraken over te maken. Als er geen aparte verwerkingsovereenkomst is, dienen er minimale artikelen in de algemene voorwaarden te staan.
  • Geheimhouding – het is altijd goed om te controleren of de voorwaarden stellen dat je leverancier alleen gegevens verwerkt voor het doel waarvoor ze worden verstrekt en er geen doorgifte aan derden plaatsvindt.
  • Beveiliging – dit is geheel afhankelijk van je eigen kennis en het soort gegevens dat de leverancier verwerkt, maar je prikt er snel doorheen als een organisatie hier niet over nagedacht heeft. Een ISO- of NEN-norm is altijd een snelle check. Hoewel het niet hebben van een ISO- of NEN-certificaat niet automatisch betekent dat gegevens onveilig verwerkt worden.

Download hieronder de extra informatie als pdf.

Download de extra informatie over AVG

 

Het volledige stappenplan als pdf

Download hieronder de pdf met het volledige stappenplan, inclusief de templates (1), checklist (2) en extra informatie (3).

Download het volledige stappenplan als pdf

Arvid van Bokhorst

Arvid van Bokhorst

Specialist (cultuur)organisatie & ICT en coach Archiefdoorlichtingstraject

Arvid werkt als zelfstandige voor diverse organisaties aan projecten op het snijvlak van digitaal en organisatie in de culturele sector, bijvoorbeeld op het gebied van marketing, CRM, dataverzameling, AVG, ticketing, informatiebeveiliging en ISO-certificering. Op dit moment werkt Arvid onder meer als operationeel manager aan de realisatie van het Digitaal Informatieplatform Podiumkunsten en als coach voor het archiefdoorlichtingstraject voor DEN. www.arvidvanbokhorst.nl

This website is automatically translated by Google Translation. Some translations might not be correct.