Een van de vragen die de meeste twijfels heeft veroorzaakt in bedrijven die aan de EU AVG implementatie werken, was wat de verschillen zijn tussen gegevens verwerkingsverantwoordelijke en gegevens verwerken onder AVG.
“In het toepassingsgebied van de EU AVG (Europese Algemene Verordening Gegevensbescherming), wat is onze verantwoordelijkheid in relatie tot persoonsgegevens die onze klanten behandelen in het toepassingsgebied van hun zakelijke activiteiten? Ik bedoel, persoonsgegevens worden verzameld en verwerkt door onze klanten en wij slaan het slechts op.” is iets wat vaak wordt gevraagd in de bedrijven waarmee ik heb gewerkt.
In feite, sommige organisaties hebben geen controle over de gegevens (ze slaan het slechts op) van hun klanten. De vraag is: Binnen de EU AVG, wat zijn de verantwoordelijkheden van deze organisaties indien ze persoonsgegevens opslaan? Zijn ze afgedekt door de nieuwe Europese verordeningen?
Europese Algemene Verordening Gegevensbescherming (EU AVG)
Deze nieuwe verordening (EU AVG) werd goedgekeurd op 14 april 2016, door het Europese Parlement en de Europese Commissie. Het zal rechtstreeks toepasselijk zijn in elk land , EU of niet -EU (welke persoonsgegevens van Europese ingezetenen opslaat), een consistentie van regels toestaand tussen naties ten aanzien van de rechten op privacy van de ingezetenen. Lees het artikel: Wat is de EU AVG en waarom is het toepasselijk op de hele wereld? om meer te weten te komen.
Allereest, alle organisaties verzamelen en/of persoonsgegevens van hun eigen werknemers aangenomen dat ze Europese ingezetenen zijn; daarom, alle organisaties, EU of niet-EU, zijn verantwoordelijk voor het verwerken van deze data binnen de EU AVG. Aan de andere kant, organisaties kunnen persoonsgegevens opslaan van hun directe klanten of persoonsgegevens die hun klanten verzamelen van natuurlijke personen. Binnen de EU AVG, is de verantwoordelijkheid van de organisatie verschillend indien het gegevens verzameld direct van de datasubjects, of niet?
Verwerkingsverantwoordelijke vs. Verwerker
Volgens Artikel 4 van de EU AVG, zijn er verschillende rollen geïdentificeerd als hieronder aangegeven:
- Verwerkingsverantwoordelijke – “betekent de natuurlijk of juridische persoon, publieke autoriteit, agentschap of andere instantie welke, alleen of tezamen met anderen, het doel en de middelen voor het verwerken van persoonsgegevens bepaalt”
- Verwerker – “betekent de natuurlijk of juridische persoon, publieke autoriteit, agentschap of andere instantie welke namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt”
Dus, de organisaties die de middelen voor het verwerken van persoonsgegevens bepalen zijn de verwerkingsverantwoordelijken, ongeacht of zij rechtstreeks de gegevens van de datasubjects (natuurlijke personen) verzamelen. Bijvoorbeeld, een bank (verwerkingsverantwoordelijke) verzamelt de gegevens van zijn klanten wanneer ze een rekening openen, echter het is een andere organisatie (verwerker) die alle informatie op papier geproduceerd door de bank opslaat, digitaliseert, en rubriceert. Beide organisatie (verwerkingsverantwoordelijke en verwerker) zijn verantwoordelijk voor het behandelen van persoonsgegevens van de klanten.
Wat zijn de verantwoordelijkheden van de verwerkingsverantwoordelijke?
Volgens Artikel 5 van de EU AVG, zal de verwerkingsverantwoordelijke verantwoordelijk zijn voor, en instaat zijn om naleving aan te tonen met, de principes gerelateerd aan het verweken van persoonsgegevens: rechtmatigheid, redelijkheid en transparantie, gegevensminimalisatie, nauwkeurigheid, opslagbeperking en integriteit, en vertrouwelijkheid van persoonsgegevens.
Volgens Artikel 24 van de EU AVG, “Rekening houdend met de aard, het toepassingsgebied, context en doelen als ook de risico’s van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van de natuurlijke personen, moet de verwerkingsverantwoordelijke toereikende technische en organisatorische maatregelen nemen en in staat te zijn aan te tonen dat het verwerken is uitgevoerd in overeenstemming met deze Verordening. Deze maatregelen zullen worden beoordeeld en aangepast waar noodzakelijk.”
Voorbeelden van dergelijke maatregelen kunnen de allocatie van verantwoordelijkheden voor gegevensbescherming zijn, een gegevensbeschermingseffectbeoordeling (PIA) en een risicoverminderingsplan, of de implementatie van pseudonimisering en gegevensminimalisering teneinde aan de vereisten van deze verordening te voldoen en de rechten van de datasubject te beschermen.
Indien er verschillende organisaties zijn die de verantwoordelijkheid delen voor het verwerken van persoonsgegevens, dan omvat de EU AVG het bestaan van gedeelde verwerkingsverantwoordelijken. Zij dienen hun respectievelijke verantwoordelijkheden in overeenstemming vast te stellen. En de inhoud van deze overeenkomst te leveren aan de datasubjects, de middelen van communiceren met verwerkers definiërend met een enkel aanspreekpunt.
Wat zijn de verantwoordelijkheden van de verwerker?
Volgens Artikel 28 van de EU AVG, “Waar de verwerking wordt uitgevoerd ten behoeve van een verwerkingsverantwoordelijke, moet de verwerkingsverantwoordelijke alleen verwerkers gebruiken, die voldoende waarborgen leveren voor toereikende technische en organisatorische maatregelen op zo’n manier dat de verwerking voldoet aan de vereisten van deze Verordening en de rechten van het datasubject te waarborgen.”
Dit betekent dat indien ieder EU of niet-EU bedrijf in bedrijf wil blijven, dan zullen verwerkingsverantwoordelijken of verwerkers de noodzakelijke maatregelen dienen te implementeren om te verzekeren dat ze voldoen aan de EU AVG, omdat de boetes zowel toepasselijk kunnen worden verklaard op zowel de verwerkingsverantwoordelijke als de verwerkers. Volgens Artikel 83, zullen boetes worden opgelegd omtrent “de graad van verantwoordelijkheid van de verwerkings-verantwoordelijke of verwerker rekening houdend met de technische en organisatorische maatregelen door hen geïmplementeerd.”
Voldoet de ISO 27001 implementatie aan de EU AVG vereisten?
De implementatie van de ISO 27001 dekt de meest van de vereisten van de AVG af; echter, enkele maatregelen dienen te worden aangepast om de persoonsgegevens mee te nemen binnen het Informatiebeveiligingssysteem. Lees het artikel Does ISO 27001 implementation satisfy EU GDPR requirements? om meer te weten te komen.
In aanvulling op wat gepland staat voor de ISO 27001, zullen enkele maatregelen te worden inbegrepen teneinde een organisatie, verwerkingsverantwoordelijke of verwerker (beide dienen deze activiteiten uit te voeren), om compliance te waarborgen met de the EU AVG, zoals:
- procedures voor het waarborgen van de rechten van datasubjects
- mechanismen voor de overdracht buiten de EU
- minimum inhoud van de gegevensbeschermingseffectbeoordeling
- procedures die gevolgen moeten worden in geval van inbreuk op persoonsgegevens
Al deze maatregelen kunnen worden geïntegreerd in het Informatiebeveiligingsmanagementsysteem, de garantie van wettelijke compliance en continue verbetering mogelijk makend – zelfs meer indien het ISMS en de EU AVG gelijkgetrokken zijn.
De organisaties afgedekt door de EU AVG, of verwerkingsverantwoordelijke of verwerkers, hebben tot mei 2018 om een set van maatregelen te implementeren hetgeen een drastische verandering in hun manier van werken. Niet wetende wanneer te starten kan het hele proces onnodig complex maken. De implementatie van een ISMS kan de ontbrekende ondersteuning zijn die de organisatie nodig heeft om te voldoen aan de EU AVG.
Lees deze gratis white-paper: Wat is EU AVG en hoe kan ISO 27001 helpen? om meer te weten te komen over gegevensbescherming.