Keurmerkkassa als AVG-garantie?

19 september 2017

Wij nemen u al enige tijd mee in de ontwikkeling van het (aangepast) normenkader en daarbij een nieuwe privacywet voor heel Europa, dat is wat de Algemene Verordening gegevensbescherming (AVG) ons brengt. De AVG volgt de Wet bescherming persoonsgegevens inclusief de daaruit voortvloeiende wet op datalekken op. Alles is nu ondergebracht in de AVG. De AVG is Nederlandse vertaling van de Europese “General Data Protection Regulation (GDPR)”. Deze verordening geldt sinds mei 2016 in heel Europa en dus op dit moment van toepassing op iedere organisatie binnen de EU. Van organisaties wordt verwacht dat zij hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag ieder individu een organisatie op de naleving van de AVG aanspreken.

Wat gaat er veranderen?
De wet is niet helemaal nieuw. Er was al veel geregeld onder de wet bescherming persoonsgegevens, maar deze was niet toegesneden op het hedendaags gebruik van internet en cloudapplicaties. Deze verordening is echter vele malen omvangrijker in reikwijdte en daarnaast zijn de gevolgen voor het niet naleven ook aanzienlijk zwaarder.

De AVG stelt de gebruiker van bijvoorbeeld een clouddienst of de natuurlijke persoon centraal. Deze persoon moet meer bescherming krijgen en meer mogelijkheden tot bescherming van zijn persoonsgegevens. Activiteiten vallen al snel onder de privacywet. Het centrale begrip ‘persoonsgegevens’ verandert namelijk: naast bestanden met namen, adressen en dergelijke vallen nu ook bijvoorbeeld gegevens gekoppeld aan IP-adressen, MAC-adressen en cookies onder de wet. Een online kassasysteem kan gekoppeld zijn aan een CRM-systeem waarin de voorkeuren van een klant worden bewaard, een boekhoudapplicatie bewaart factuurgegevens met daarop adressen en vaak e-mail-gegevens. Deze factuurgegevens kunnen al naar gelang de aard van de geleverde goederen of diensten al gevoelige informatie bevatten. Denk eens aan de factuur van een gemiddeld kinderdagverblijf. Daarop staan BSN- nummers, geboortedata, namen etc. Wellicht bewaren ze ook onlinegegevens als ziektes en informatie over voeding etc. Oftewel, als ondernemer moet je kiezen voor een deugdelijke verwerker. Je hebt te maken met veel juridische eisen vanuit de AVG, maar de AVG stelt ook een eis aan de online applicaties die je als ondernemer gebruikt. Je mag uitsluitend een beroep doen op online aanbieders die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen zodat bescherming van de rechten van jouw klanten gewaarborgd is.

Wat komt er verder zoal bij kijken:

  • Privacyverklaring moet nog transparanter
  • Alle datalekken moeten intern worden gedocumenteerd
  • Alle verwerkingen van persoonlijke gegevens moeten worden gedocumenteerd, ook de triviale zoals personeelsadministratie en nieuwsbrieven
  • U moet met al uw leveranciers en afnemers een verwerkingsovereenkomst sluiten over de omgang met persoonlijke gegevens
  • De boetes worden veel hoger
  • Mogelijk heeft u een privacy officer nodig
  • Bij risico’s aan een verwerking moet een complete Privacy Impact Assessment (PIA) uitgevoerd worden
  • U moet zo min mogelijk privacy-gevoelige informatie verzamelen en deze zo snel mogelijk weer weg gooien, tenzij relevant en vallend onder de (fiscale) bewaarplicht
  • Uw software en diensten moeten vanaf het eerste begin rekening houden met privacy
  • Uw hele beveiliging en dus ook die van uw toeleveranciers met wie u data deelt, u van data voorzien of namens u data bewaren, moet op orde zijn
  • U moet een intern privacy-beleid publiceren waarin staat wie, welke rol heeft
  • U moet om kunnen gaan met verzoeken van personen zoals een verzoek om inzage in of correctie van gegevens
  • Bij online diensten moet de informatie kunnen worden geëxporteerd in een standaardformaat
  • Als u met buitenlandse partijen werkt, dan moet u controleren of zij binnen of buiten de EU persoonlijke informatie opslaan
  • Maakt u interesseprofielen of risicoanalyses, dan moet u op verzoek kunnen uitleggen hoe dit gebeurt
  • Bij gebruik van biometrische gegevens geldt een streng beschermingsregime.

Keurmerkkassa en AVG
Als het afrekensysteem persoonsgegevens kan verwerken moet er aan de AVG voldaan worden. Vanuit de normering Betrouwbaar Afrekensysteem is de beveiliging van het systeem juist een van de uitgangspunten. Er worden verschillende technische en organisatorische maatregelen geboden om aan de eisen op het gebied van integriteit, bewaren en rapporteren te voldoen. Het volgen van de keurmerknormen helpt u op een aantal onderdelen om te voldoen aan de uitgangspunten van de AVG.

  • Vanuit de normering wordt er gestreefd naar het voorkomen van inbreuk op de database, of het tenminste constateren hiervan. Datalekken moeten intern worden gedocumenteerd. Wij verwijzen hiervoor naar onderdeel 5.3 van de zelfbeoordeling.
  • Bij online diensten is het uitgangspunt dat informatie moet kunnen worden geëxporteerd in een standaardformaat. Zie hiervoor onderdeel 5.4 van de zelfbeoordeling.
  • Vanuit de normering van het kassakeurmerk is de plaats waar informatie wordt opgeslagen van groot belang. Dit kan nationaal maar ook internationaal zijn. Wij verwijzen hiervoor naar de onderdelen 5.3.10 en 5.3.11 van de zelfbeoordeling.

Het AVG-terrein is nog sterk in beweging. Zo heeft de EU recent de ’code of conduct’ voor cloud service providers gepubliceerd. Wij volgen samen met u de ontwikkelingen.
Om u als ondernemer te faciliteren, hebben we een aantal factsheets van ICT Recht, onze adviseur van de juridische maatregelen in ons normenkader, overgenomen en gepubliceerd op onze website www.keurmerkafrekensystemen.nl/documenten-stichting-betrouwbare-afrekensystemen.

U treft daar ter informatie de volgende factsheets aan:

  • De algemene verordening gegevensbescherming wat verandert er echt?
  • Nadere toelichting op het register van verwerkingen van persoonsgegevens;
  • Handvatten voor het registeren van datalekken.