Nieuwe Europese privacy wet (GDPR of AVG): wat betekent dat voor u en voor Parantion?

Laatste wijziging: 1 februari 2018

De General Data Protection Regulation (GDPR) is hetzelfde, namelijk de Nederlandse vertaling van, als AVG (algemene verordening gegevensbescherming). Het is de nieuwe Europese wet die 25 mei ingaat. En dat deze nog een stuk duidelijker en strenger is in wat wel en niet is toegestaan is helder.

Bij Parantion wordt er hard aan gewerkt om aan de nieuwe wetgeving te voldoen. We zullen dan ook de komende periode u zo goed mogelijk informeren over de wetgeving zelf, de ontwikkelingen bij Parantion en de gevolgen voor u. Het doel is om samen met u te zorgen voor een veilige verwerking van gegevens.

Actuele stand van zaken en wat betekent de wet voor u en voor ons?

Uw data is veilig bij Parantion en wordt volgens de huidige wetgeving en veiligheidseisen bewaard. Dat willen we zo houden. Parantion beschikt op dit moment over het meest actuele en laatste ISO27001 en NEN7510 certificaat. Op dit moment wordt ook hard gewerkt om alle overeenkomsten in overeenstemming te brengen met de nieuwe wetgeving GDPR en AVG. Dat houdt onder andere in dat de bestaande overeenkomsten waarop de nieuwe wetgeving van toepassing is, worden herzien.

Dit zijn:

  • De bewerkersovereenkomst (wordt verwerkingsovereenkomst)
  • De serviceovereenkomst (SLA)
  • De eindgebruikersovereenkomst (EULA)
  • De algemene leveringsvoorwaarden
  • De PIA (nieuw)

De verwachting is dat de nieuwe verwerkersovereenkomst gereed en beschikbaar is per 1 maart 2018.

De overige documenten zijn volgens de planning 1 april gereed.

En we willen de invoering van de nieuwe wet voor u zo eenvoudig en gemakkelijk mogelijk houden. We zullen om die reden onder andere een digitaal instrument maken waarmee u zelf een PIA kunt uitvoeren. Daarnaast nemen we contact op met de organisaties die nog geen bewerkers­overeen­komst hebben, om de nieuwe verwerkersovereenkomst te sluiten. U kunt deze te zijner tijd ook gewoon op onze website downloaden.

Tot slot wordt er gewerkt aan een registratie van de gegevens die door Parantion worden bewaard van onze klanten en de beschrijving van het waarom. Deze zal met het ingaan van de nieuwe wetgeving beschikbaar zijn voor al onze klanten.

Parantion, security en privacy

Parantion heeft security en privacy altijd al zeer hoog op de agenda staan. Dat is de reden dat Parantion in tegenstelling tot veel andere organisaties de gegevens van individuen en organisaties beschermt en altijd beschouwt als eigendom van de gebruiker of organisatie die ermee werkt. Dat is ook de reden dat in 2013 werd gestart met het project EPIC. Het doel hiervan was om de gegevens van de gebruikers van de Parantion software, Easion, Scorion en Groeidocument maximaal te beveiligen.

Dit heeft geresulteerd in het behalen van het ISO27001 certificaat en de NEN7510 in 2016. Belangrijk daarbij is te vermelden dat de certificering een volledige verklaring van toepasselijkheid kent met slechts één uitsluiting. Risico’s als gevolg van ontwikkeling van software door externe partijen.

Parantion is zoals hierboven aangegeven momenteel bezig om de gevolgen van de nieuwe wetgeving te implementeren. Dat heeft voor Parantion, ondanks dat we al aan de strengste eisen voldoen, zo hier en daar nog wel pittige gevolgen omdat de nieuwe wet zo hier en daar hele specifieke eisen stelt. We moeten dus een aantal zaken ontwikkelen en inregelen. Dit geldt voor zowel onze software, de dataopslag, de manier waarop we werken met de gegevens maar ook de samenwerking, overeenkomsten en bewustwording met en van onze klanten.

De nieuwe privacywet in 17 punten

Adviesbureau ICT-Recht heeft de nieuwe wetgeving in een aantal handzame en leesbare documenten samengevat. Dit zijn (links naar de documenten). Parantion heeft deze voor u in 16 punten samengevat:

  • Gegevens zoals Ip-adressen en cookies vallen ook onder persoonsgegevens. Zelfs als u niet weet hoe de persoon heet die erbij hoort
  • De dataverwerker is verplicht op exact aan te geven wat er aan gegevens worden bewaard en waarom. Het is ook verplicht mensen op hun rechten te wijzen, zoals het recht om gegevens in te zien of te verwijderen
  • Alle datalekken moeten worden geregistreerd. Ook die u niet hoeft te melden bij autoriteiten
  • Alle verwerkingen met gegevens moeten worden geregistreerd. Zelfs van bijvoorbeeld een nieuwsbrief moet zijn vastgelegd welke persoonlijke gegevens worden verwerkt.
  • De verwerker moet met al haar leveranciers die gegevens verwerken (dus alle organisaties die met Parantion werken, hebben ook zo’n overeenkomst) een bewerkingsovereenkomst sluiten waar exact instaat hoe met de data wordt omgegaan.
  • Boetes voor overtreding gaan van 800.000 Euro naar maximaal 20 miljoen Euro
  • De verwerker moet een Functionaris Gegevensbescherming (FG) ook wel privacy officer genoemd, aanstellen
  • Als er mogelijk risico’s zitten aan de verwerking van de gegevens, moet verplicht er een Privacy Impact Analyse worden uitgevoerd. U mag pas gegevens verwerken nadat deze PIA is uitgevoerd
  • U moet zo min mogelijk privacy gevoelige gegevens bewaren en actief verwijderen wat u niet meer gebruikt
  • Privacy by default is de standaard. U moet dus in principe altijd privacybescherming als basis houding hebben
  • Data moet optimaal veilig worden bewaard. Twee factor authenticatie en versleuteling is verplicht. Vandaar dat Parantion hier een speciale App voor ontwikkelt
  • U moet binnen een maand kunnen voldoen aan het verzoek om gegevens in te laten zien of te verwijderen
  • Data moet kunnen worden gedownload door de afnemer
  • Data opslaan op buitenlandse servers moet voldoen aan extra strenge normen en het land moet de EU zijn goedgekeurd
  • Als u interesse profielen maakt (bijvoorbeeld op basis van cookies), moet u transparant zijn in hoe u dat doet
  • Voor biometrische gegevens zoals vingerafdrukken of irisscans gelden nog strengere regels

Bron: ICTR-factsheet-De-Algemene-Verordening-Gegevensbescherming-wat-verandert-er-echt.pdf