Een dataverwerkingsregister en een datalekregister bijhouden

De AVG verplicht je om bewust te worden van de data die binnen je bedrijf verwerkt word. Hiervoor moet je weten welke data waar, door wie en waarvoor deze verwerkt  wordt. Dit zal je vast moeten leggen in dataverwerkingsregister. Of je nu een zzp-er bent of een groot bedrijf hebt zodra je staat ingeschreven bij de kamer van koophandel heb je deze verplichting. Controleer altijd of je wel toestemming hebt om de persoonlijkegegevens binnen je bedrijf te verwerken aan de hand van de 6 grondslagen.

Naast het dataverwerkingsregister ben je ook verplicht een datalekregister bij te houden. Echter als je nog nooit een datalek hebt gehad is dit een vreemde om bij te houden. Toch is het verstandig om dit wel te doen. Krijg je namelijk ooit controle dan zien ze gelijk dat je alert bent op datalekken en dat je hier zelfs al de nodige maatregelen voor genomen hebt. Hierdoor voorkom je dus problemen terwijl het makkelijk is op te lossen door even je gegevens in een excel sheet in te vullen.

Wil je een voorbeeld ontvangen van een dataverwerkingsregister en een datalekregister of heb je een vraag over wat de AVG voor jou bedrijf betekend, vul dan onderstaand formulier in.

 

Registers

Er is geen aanhef ingevuld.

Er is geen naam ingevuld.

Er is geen geldig e-mailadres ingevuld.

Er is geen vraag ingevuld.

Het formulier kan alleen verzonden worden als ons privacybeleid is geaccepteerd.

Meldplicht datalekken

Een datalek, wat nu?

Volgens de Autoriteit Persoonsgegevens (AP) ben je verplicht een datalek te melden. Maar wanneer ben je dit nu verplicht, wat zijn de gevolgen, welke stappen moet je ondernemen om deze melding officieel te maken en wat gebeurt er als je deze melding achterwege laat?

Wanneer ben je verplicht een datalek te melden bij het AP

Hier heb ik lang naar gezocht en zoals met de meeste wetgeving is dit absoluut niet duidelijk. Sterker nog, de Nederlandse richtlijnen die aangeven wanneer je nu wel of niet je datalek moet melden zijn bij het schrijven van dit artikel nog niet in het Nederlands beschikbaar. Deze informatie dient uit de Europese richtlijnen gehaald te worden, die je via deze link kan downloaden. De Europese richtlijn is echter minder zwaar dan de Nederlandse, zoals ook in het artikel staat vermeld. Kort gezegd geldt dat je in Nederland ieder verlies van data wat terug te herleiden is naar een natuurlijk persoon, zal moeten melden. Of dit nu komt door ransomware, een crash of diefstal van computers, verlies van een USB stick of hack van een website of computersysteem maakt niet uit. Zodra er persoonlijke data bij betrokken is, kan er dus meldplicht zijn. 

Als je een melding moet maken van een datalek, zal je altijd een verwerkingsregister en een datalekregister moeten meesturen. Zorg er dus voor dat je die op voorhand al hebt, want ook bij een controle moet je die kunnen overhandigen.

Wat zijn de gevolgen van een datalek

Dit hangt af van de ernst van de gelekte data en de schade voor de betrokkenen. Stel dat je website wordt gehackt. In je website staat een formulier waarin je een naam, adres en e-mailadres vraagt. Als deze informatie gestolen wordt, valt dit onder laag risico. Echter, het risico wordt opgeschaald als je ook om geslacht en leeftijd vraagt. Als je klant bijvoorbeeld ook een datum van een gebeurtenis kan invullen, waarbij hij/zij aanwezig is, heeft deze data een hoog risico. Een hacker heeft nu een adres en een datum waarop je klant niet thuis is. Dit kan gebruikt worden om een inbraak te plegen. Het gaat er dus niet om dat de inbraak werkelijk wordt gepleegd, maar om het risico ervan. 

Elk risiconiveau heeft eigen maatregelen. Het AP zal deze aan je melden. Het is echter beter om het AP voor te zijn. Hoe meer zij jou moeten melden, hoe meer zij het gevoel krijgen dat jij persoonlijke data niet serieus neemt, en in die gevallen kunnen ze het je flink lastig maken. Bij een laag risico hoef je alleen het volgende te documenteren en melden binnen 72 uur: de oorzaak, de genomen maatregelen en wat voor data er is gelekt. Bij een hoog risico moet je alle mensen waarschuwen waarvan data gelekt is, zodat de betrokkenen desgewenst maatregelen kunnen nemen. 

Als het een ernstig lek betreft kan het AP een onderzoek instellen. De kans op controle wordt groter als je klantgegevens in de volgende categorieën bijhoudt en verzamelt: medische, juridische, strafrechtelijke, religeuze, sexuele voorkeur, bank- of betaalgegevens. Bij een controle kan het zelfs voorkomen dat je je moet verantwoorden voor een rechter. Mocht je met een lek te maken krijgen of mocht je dit vermoeden, meld het ons direct. Een melding doen aan het AP kost geen geld.

Ik vermoed een datalek, welke stappen moet ik ondernemen?

  1. Blijf kalm, een veiligheidsrisico is niet altijd een datalek. Onderneem actie en onderzoek of er een meldplicht is. Hanteer hierbij het onderstaande diagram.
  2. Licht eerst alle betrokkenen in. Is het je website die gehackt is, meld dit dan aan Roland Roijter van Roijter IT Solutions. Wij kunnen direct maatregelen nemen om de hack zo snel mogelijk op te lossen. Tevens kunnen wij zien of er echt toegang is geweest tot de data binnen je website.
  3. Als blijkt dat er een datalek is geweest, dan stellen wij je hiervan op de hoogte en vertellen je wat je moet doen. Pas nu weet je zeker dat het om een datalek gaat en vanaf dit moment gaat de 72-uurs meldplicht in.
  4. Wij stellen samen met jou de documentatie op die aan het AP moet worden overhandigd en zorgen voor een goede en duidelijke melding van je datalek.
  5. Indien nodig lichten wij alle betrokken klanten in, zodat zij de vereiste maatregelen kunnen treffen.

Flowdiagram datalek

Wat zijn de gevolgen als ik het lek niet meld?

Als je besluit om je datalek niet te melden en het AP wordt op de een of andere manier toch ingelicht, dan kunnen de boetes oplopen tot € 10.000.000 of 2% van je totale wereldwijde bruto inkomen. Daarnaast zal het AP je datalek altijd publiceren als je deze niet zelf hebt gemeld, waardoor de bijkomende schade veel groter is. Dit zijn sancties waar je absoluut niet op zit te wachten.

Wat gebeurt er als je een melding doet die achteraf toch geen datalek is? Stel, je doet een melding van het verlies van een USB stick, waarop je volledige klantenbestand staat, maar 2 dagen later vind je deze terug in een bureaula. Je meldt bij het AP dat de USB stick teruggevonden is. Aan dergelijke meldingen zijn geen kosten verbonden. Kortom, bij twijfel kan je beter melden. Zo blijf je het AP een stap voor en voorkom je erger.

Hoe groot zijn mijn risico's op een datalek?

Deze zijn niet heel groot, zolang je je maar bewust bent van de risico's en de waarde van je data. Ja, je moet maatregelen nemen, hoe meer, hoe beter. Welke maatregelen?

  1. Zorg ervoor dat je computer voorzien is van de laatste updates;
  2. Gebruik je Windows, zorg dan dat je een goede commerciële virusscanner en firewall installeert. Ook bij het gebruik van een Apple computer is dit aan te raden. Mede door de populariteit van de iPad en iPhone worden de risico's op virussen en hacks ook voor deze gebruikers steeds groter.
  3. Gebruik je een laptop waarmee je ook buiten je kantoor werkt, dan is een versleuteling of gebruik van een yubiKey aan te raden.
  4. Zorg voor goede backups van je systeem.

Niet alle maatregelen zijn zelf te nemen, bijvoorbeeld als het je website betreft. Roijter IT Solutions bouwt alle websites met een hoge veiligheidsnorm. Ook de hosting die wij gebruiken is beter beveiligd dan de standaard shared hosting. Een hack kan je nooit 100% voorkomen, maar je kan het ze wel zo moeilijk mogelijk maken. Het aantal hackpogingen neemt drastisch toe. Gelukkig zijn onze beveiligingsmaatregelen zo goed ingesteld, dat het bij hackpogingen blijft. Toch kan je zelf ook wat doen:

  1. Zorg voor goede wachtwoorden. Een goed wachtwoord beschikt over hoofd- en kleine letters, leestekens, nummers en bestaat minimaal uit 8 karakters. Het is echter beter om 20 karakters te kiezen;
  2. Hoe lastig het ook is, gebruik voor iedere site een uniek wachtwoord;
  3. Maak gebruik van een wachtwoordprogramma. Hiermee kan je op een goede manier je wachtwoorden versleuteld beheren. Wijzelf hebben erg goede ervaringen met KeePass2. Dit werkt goed onder zowel Windows als Linux en is gratis te gebruiken. Het grote voordeel van dit systeem is dat je je wachtwoordbestand op een server kan plaatsen, waardoor je met al je computers hetzelfde wachtwoordbestand kan inzien. Dit is zeker handig als je meerdere computers gebruikt;
  4. Verander bij de minste twijfel je wachtwoord;
  5. Maak binnen je site accounts aan voor al je medewerkers die met de site werken. Laat ze niet werken op eenzelfde account.

Mocht je meer vragen hebben over de AVG, neem dan contact op.

Hoe weet je of je persoonsgegevens mag verwerken?

Als organisatie mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen.

Kan je de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan heb je geen recht om de persoonsgegevens te verwerken.

Welke grondslagen zijn er?

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent zelf verantwoordelijk om te beoordelen of je je voor verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

Bijzondere en strafrechtelijke gegevens

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Meer informatie over wanneer je bijzondere persoonsgegevens mag verwerken
Meer informatie over wanneer je strafrechtelijke persoonsgegevens mag verwerken

Persoonlijk gebruik

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.

Mag je persoonsgegevens verwerken?

Onder de Algemene verordening gegevensbescherming (AVG) mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor een zogeheten wettelijke grondslag hebben. Daarom is het goed om vooraf inzicht te hebben in het type persoonsgegevens dat je wilt verwerken, zodat je weet welke AVG-regels voor jou gelden.

We onderscheiden drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens.

Gewone persoonsgegevens

Je mag alleen 'gewone' persoonsgegevens verwerken wanneer je de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren.

Bijzondere en strafrechtelijke persoonsgegevens

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij je je kunt beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

DomeinregistratieEnHosting

Website, Hosting en Domeinnamen

Als ik een nieuwe leverancier ontmoet, kijk ik altijd naar hun website om te zien wat voor bedrijf het is en of het de juiste zakenpartner is. Een website speelt dus onbewust een belangrijke rol in het werven van nieuwe klanten. De snelheid en beveiliging, de uitstraling en informatie op de site, het zijn allemaal factoren die een prospect over de streep kunnen trekken. Wij bouwen al jaren veilige en professionele websites met alles wat daarbij komt kijken, zoals hosting en het registreren van de juiste domeinnamen. Wij helpen je dan ook graag met jouw online uitstraling.

Lees meer...

Systeembeheer

Bijgewerkte computersystemen, het lijkt zo makkelijk. Toch blijken in de praktijk veel problemen te ontstaan door niet goed bijgewerkte sytemen, waardoor veiligheidslekken ongemerkt aanwezig blijven. Hoe dit komt? De Windows updateroutine werkt veel bij, maar niet alles en daardoor gaat het juist mis. Door het systeembeheer uit te besteden, weet je zeker dat je systemen altijd bijgewerkt worden en daarmee een stuk veiliger zijn. En ontstaan er dan toch nog problemen, dan heb je altijd een specialist bij de hand die precies weet wat er met je computer(s) aan de hand is.

Lees meer...
Websites

 

Webshops

Beveiliging

Hackers worden niet alleen actiever, maar ook steeds inventiever. Hierdoor is alleen een goede virusscanner en firewall al lang niet meer voldoende. Afhankelijk van de situatie zal er meer moeten gebeuren. Roijter IT Solutions bewaakt systemen actief op datalekken en hackpogingen en levert de middelen om de kans hierop zo klein mogelijk te maken. In de praktijk blijkt dat de beveiligingsbehoefte toeneemt naarmate er vanaf meerdere locaties gewerkt wordt, of als het aantal personeelsleden groeit.

Lees meer...

 

Online backup/Cloud backup

De AVG wetgeving maakt je aansprakelijk voor alle data die je verzamelt. Verlies je data, dan ben je in veel gevallen verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP). Als blijkt dat je niet de juiste beveiligingsmaatregelen hebt genomen om die data te beschermen, dan heb je al snel een kostbaar probleem. Een van die maatregelen is een goede backup op minimaal twee locaties. RITS levert online backupmethodes, die voor jouw bedrijf worden aangepast en waarbij de data altijd op Nederlandse bodem wordt opgeslagen. Zo weet je zeker dat je data veilig is.

Lees meer...
MobileApps
Webshops

Verbindingen

Bereikbaarheid is enorm belangrijk in de zakenwereld. Dit begint met goede verbindingen. Het maakt niet uit of het om een internetverbinding, een mobiel abonnement of een telefonieverbinding gaat. Wij bekijken per klant welke verbindingen er nodig zijn en hoe we deze het beste kunnen implementeren, zodat je altijd bereikbaar bent. Zo kunnen wij al een volledige telefooncentrale in de cloud leveren, zonder dat je hiervoor iets hoeft te investeren. Dit geeft al snel een professionele indruk bij klanten.

Lees meer...