Nieuwe privacy wet – Veelgestelde vragen en antwoorden

Nieuwe privacy wet – Veelgestelde vragen en antwoorden

Vanaf 25 mei 2018 wordt de nieuwe privacy wet gehandhaafd. Daar is al veel over gepubliceerd. Toch leven er nog veel vragen bij onze klanten, zowel onder zelfstandig ondernemers als bij retail organisaties. Hieronder gaan wij als Valk Solutions naar ons beste weten in op veelgestelde vragen. Naar ons beste weten, omdat de wet voor uitleg vatbaar is. Dit is dan ook onze interpretatie naar de praktijk van retail.

Om welke wet gaat het?
Het gaat om de algemene verordening gegevensbescherming (AVG), ook wel de general data protection regulation (GDPR) genoemd, in de volksmond de nieuwe privacy wet. De AVG vervangt de wet bescherming persoonsgegevens (WBP). De AVG is bedoeld om de privacy van de mensen te beschermen in deze tijd van digitalisering en is strenger dan de WBP. De Autoriteit Persoonsgegevens (AP) zal de nieuwe privacy wet handhaven en kan bij overtredingen boetes opleggen.

Wat zijn eigenlijk persoonsgegevens?
Persoonsgegevens zijn gegevens die herleidbaar zijn naar een individu. Dat kunnen bijvoorbeeld zijn naam, adres, geboortedatum, telefoonnummer, emailadres, IP-adres, bankrekeningnummer, klantkaartnummer of interessegebied, maar ook gevoelige gegevens zoals salaris, ziekteverzuim, burgerservicenummer (BSN), biometrische, medische of strafrechtelijke gegevens. Het gaat in de privacy wet alleen om natuurlijke personen, niet om bedrijven of rechtspersonen. Klanten van winkels en webshops maar ook personeel in winkels en op hoofdkantoren zijn personen van wie de privacy beschermd moet worden.

Welke eisen stelt de privacy wet?
Bedrijven en instanties moeten zorgvuldig omgaan met persoonsgegevens. Dit betekent dat gegevens actueel en juist moeten zijn en alleen met actieve instemming (“opt-in”) van de persoon in kwestie gebruikt mogen worden. Van retailers worden passende maatregelen verwacht om klanten te informeren en persoonsgegevens te beschermen. Welke maatregelen passend zijn is afhankelijk van de aard en toepassing, daar doet de wet geen uitspraken over, anders dan dat de bescherming in lijn moet zijn met actuele mogelijkheden. Als persoonsgegevens in verkeerde handen vallen moet zo’n datalek binnen 72 uur aan de AP gemeld worden.

Wat is een datalek?
Een datalek is een inbreuk op de privacy van mensen. Dit wil zeggen dat persoons-gegevens bij onbevoegden terecht zijn gekomen en mensen daar naar alle waarschijnlijkheid door gedupeerd zijn. Na het optreden van een datalek moeten passende maatregelen genomen worden om te voorkomen dat het datalek voortduurt of uitbreidt en moeten gedupeerden en de AP geïnformeerd worden. Het niet melden van een datalek kan bestraft worden met een boete. Ook moeten maatregelen getroffen worden om te voorkomen dat zo’n datalek nogmaals optreedt.

Wie is eigenaar van persoonsgegevens?
Het eigendom van data is juridisch een lastig begip. Daarom wordt in de wet gesproken over verantwoordelijkheid in plaats van eigendom. Een verantwoordelijke is een onderneming die persoonsgegevens verkrijgt van de consument en die zelfstandig bepaalt voor welke toepassing ze gebruikt worden. Een verantwoordelijke mag data alleen met instemming van consumenten verwerven, ook wel opt-in genoemd, in tegenstelling tot het voorheen gebruikelijke opt-out. Deze opt-in instemming moet achteraf aantoonbaar zijn. Een verantwoordelijke moet er op toezien dat persoonsgegevens goed beschermd worden. Hij communiceert transparant in een privacy statement welke gegevens hij gebruikt en waarvoor en hoe lang deze bewaard blijven.

Wat is een verwerker?
Een verwerker is een derde partij die in opdracht van een verantwoordelijke persoonsgegevens verwerkt, zoals bijvoorbeeld Valk Solutions als software as a service (saas) aanbieder. Maar ook bijvoorbeeld een ecommerce partij of marketing dienstverlener is een verwerker. Het woord verwerker kan misleidend zijn, het hoeft niet te betekenen dat persoonsgegevens aangepast worden, alleen al het
bewaren of doorgeven ervan geldt als verwerking. In een verwerkersovereenkomst leggen een verantwoordelijke en een verwerker hun afspraken vast omtrent de zorgvuldige omgang van persoonsgegevens conform de AVG.

Is Valk Solutions voorbereid op de AVG?
Jazeker. In 2016 hebben we een ISO 27001 certificaat gehaald voor informatie-beveiliging. Dit hebben we in 2017 aangevuld met een ISAE 3402 type 1 verklaring en in 2018 met een ISAE 3402 type 2 verklaring. Dat betekent dat de beveiliging van onze ASPOS dienstverlening is getoetst door onafhankelijke accountants aan een internationaal normenkader. Jaarlijks worden we geherauditeerd. Ook hebben we externe penetratietests uitgevoerd waarbij professionele hackers hebben geprobeerd onze systemen te kraken. Naar aanleiding van de bevindingen uit al deze audits en tests is onze beveiliging aangescherpt. Onze eigen functionaris gegevensbescherming (FG) ziet toe op de naleving van de voorschriften. Waterdichte garanties bestaan niet, maar we hebben er binnen de huidige mogelijkheden alles aan gedaan wat redelijkerwijs verwacht kan worden om persoonsgegevens te beschermen.

Maar de cloud is toch niet veilig?
Valk Solutions werkt in een managed cloud. Dit betekent dat de persoonsgegevens centraal staan opgeslagen in een streng beveiligd en van het internet afgeschermd datacenter met volcontinu bewaking en monitoring. Alle systemen zijn dubbel uitgevoerd en elke 15 minuten wordt een automatische backup gemaakt zodat de data nooit verloren gaan. We durven met een gerust hart te stellen dat deze cloud veiliger is dan de toonbank in de winkel, of de archiefkast op kantoor.

Welke beveiligingsmaatregelen zijn er zoal?
Valk Solutions werkt met een gelaagd beveiligingsmodel op fysiek, technisch, logisch en organisatorisch niveau. Op fysiek niveau zijn onze kantoorpanden en technische locaties beveiligd met sloten, hekken, alarmen, camera’s en bewakers. Op technisch niveau zijn onze netwerken en systemen redundant uitgevoerd en afgeschermd middels firewalls, antivirus en antimalware filters. Op logisch niveau zijn de data encrypted en ondersteunt de software beveiliging van persoons-gegevens met een rechtenstructuur en een sterk wachtwoordbeleid. Op organisatorisch niveau werken we met deskundig personeel dat zich bewust is van risico’s en verantwoordelijkheden. Onze medewerkers zijn gescreend op
onbesproken gedrag en hebben getekend voor een gedragscode van zorgvuldigheid en geheimhouding.

Hoe ondersteunt ASPOS de AVG?
ASPOS is gecertificeerd volgens de internationale normen van ISO 27001 en ISAE 3402. ASPOS ondersteunt een sterk wachtwoordbeleid waarin wachtwoorden van gebruikers worden gecontroleerd op aantal karakters, alfanumericiteit en periodiek vernieuwd moeten worden. ASPOS is alleen toegankelijk in een beveiligde browser (https) en vanaf bekende IP adressen (IP whitelisted). ASPOS voorziet in een rechtenstructuur waarin ondernemers en retail organisaties rechten kunnen toekennen aan gebruikers. Bijvoorbeeld het in bulk exporteren van klantgegevens kan alleen als een gebruiker daartoe rechten heeft. Vanaf de nieuwe versie van 2018 ondersteunt ASPOS tevens een vergetelheidsknop, waarmee persoonsgegevens van een individuele klant gewist kunnen worden. Onze API koppeling met derden zoals CRM partijen ondersteunen opt-in, waarbij aan klanten wordt gevraagd of
zij er mee instemmen dat hun persoonsgegevens gebruikt worden.

Is ProPOSS ook klaar voor AVG?
Jazeker, ook de ProPOSS software is beveiligd met een wachtwoord. Zorg dat u een sterk wachtwoord kiest met letters, cijfers en tekens in tenminste 10 karakters. Toegang tot klantgegevens op een ProPOSS kassa of backoffice PC is uitsluitend mogelijk indien het juiste wachtwoord wordt ingevoerd en de betreffende rechten zijn toegekend aan de ingelogde gebruiker. Vanaf de nieuwe versie van 2018 ondersteunt ook ProPOSS een vergetelheidsknop waarmee persoonsgegevens van een individuele klant gewist kunnen worden. Let op, in ProPOSS staan de klantgegevens lokaal op uw PC in uw winkel opgeslagen. Laat uw systeem dus niet onbeheerd achter en geef alleen toegang aan bevoegden.

Wat moet u zelf doen?
Als retailer moet u toezien op de zorgvuldige omgang met persoonsgegevens. Is uw personeel bewust van de risico’s en verantwoordelijkheden? Houden zij zich aan gedragsregels met bijvoorbeeld sterke wachtwoorden? Kunt u aantonen dat persoonsgegevens met instemming van klanten verkregen zijn? Gebruikt u persoonsgegevens alleen voor het doel waarvoor ze verkregen zijn? Bewaart u persoonsgegevens niet langer dan nodig? Zijn de rechten van uw klanten gewaarborgd, bijvoorbeeld het recht om hun gegevens in te zien, te wijzigen en uit uw systemen te laten wissen? Heeft u het privacy beleid van uw onderneming op de website gepubliceerd? Zijn er verwerkersovereenkomsten van kracht met derden die in uw opdracht persoonsgegevens behandelen? En last but not least, heeft u een procedure geïmplementeerd voor de meldplicht datalekken?

Hoe zit dat met franchise?
Wie doet wat met persoonsgegevens in franchise organisaties? Hoe worden verplichtingen en verantwoordelijkheden van de AVG geborgd tussen franchisenemers en franchisegevers? Daar moeten franchisegevers en franchisenemers samen afspraken over maken. Mogelijk is al veel vastgelegd in de vigerende franchise overeenkomst, of anders kunt u deze aanvullen. In veel gevallen zal de franchisenemer verantwoordelijke zijn en de franchisegever verwerker. De franchise overeenkomst kan dienst doen als verwerkersovereenkomst, of een aanvullende verwerkersovereenkomst kan worden afgesloten, waarin precies staat beschreven welke verwerkingen uitgevoerd worden en hoe de privacy gewaarborgd is. Voorbeelden van verwerkersovereenkomsten zijn te vinden op de website van de Autoriteit Persoonsgegevens.

Meer weten?
Op de website van de Autoriteit Persoonsgegevens is nog veel meer nuttige informatie te vinden. Ook onze Klantenservice adviseert u graag. Waarbij het goed is om in uw achterhoofd te houden dat we als verwerker niet op uw stoel als verantwoordelijke kunnen gaan zitten. In dit document hebben we onze
interpretatie van de AVG gegeven, het is zeker van belang om u er zelf in te verdiepen of u te laten adviseren door een jurist.

Montfoort, april 2018

Naar overzicht ervaringen