Nieuwe privacy wet – Veelgestelde vragen en antwoorden

Nieuwe privacy wet – Veelgestelde vragen en antwoorden

 

Op 25 mei 2018 wordt de nieuwe privacy wet gehandhaafd. Daar is al veel over gepubliceerd. Toch zijn
er nog veel vragen bij onze klanten, zowel zelfstandig ondernemers als retail organisaties. Hieronder
gaan wij als Valk Solutions naar ons beste weten in op veelgestelde vragen. Naar beste weten, omdat
een wet tekst soms voor uitleg vatbaar is. Dit is dan ook onze interpretatie naar de praktijk van retail.

Om welke wet gaat het?
Het gaat om de algemene verordening gegevensbescherming (AVG), ook wel de general data protection
regulation (GDPR) genoemd, in de volksmond de nieuwe privacy wet. De AVG vervangt de wet
bescherming persoonsgegevens (WBP). De AVG is bedoeld om de privacy van de mensen te
beschermen in deze tijd van digitalisering en is strenger dan de WBP. De Autoriteit Persoonsgegevens
(AP) zal de nieuwe privacy wet handhaven en kan bij overtredingen boetes opleggen.

Wat zijn eigenlijk persoonsgegevens?
Persoonsgegevens zijn gegevens die herleidbaar zijn naar een individu. Dat kunnen bijvoorbeeld zijn
een naam, adres, geboortedatum, telefoonnummer, emailadres, IP nummer, bankrekeningnummer,
klantkaartnummer of interessegebied, maar ook gevoelige gegevens zoals salaris, ziekteverzuim,
burgerservicenummer (BSN), biometrische, medische of strafrechtelijke gegevens. Het gaat in de
privacy wet alleen om natuurlijke personen, niet om bedrijven of rechtspersonen. Klanten van winkels
en webshops maar ook personeel in winkels en op hoofdkantoren zijn personen van wie de privacy
beschermd moet worden.

Welke eisen stelt de privacy wet?
Bedrijven en instanties moeten zorgvuldig omgaan met persoonsgegevens. Dit betekent dat gegevens
actueel en juist moeten zijn en alleen met actieve instemming (“opt-in”) gebruikt mogen worden. Van
retailers worden passende maatregelen verwacht om persoonsgegevens te beschermen. Welke
maatregelen passend zijn is afhankelijk van de aard en toepassing, daar doet de wet geen uitspraken
over, anders dan dat de bescherming in lijn moet zijn met actuele mogelijkheden. Als persoons-
gegevens in verkeerde handen vallen moet zo’n datalek binnen 72 uur aan de AP gemeld worden.

Wat is een datalek?
Een datalek is een inbreuk op de privacy van mensen. Dit wil zeggen dat persoonsgegevens bij
onbevoegden terecht zijn gekomen en mensen daar naar alle waarschijnlijkheid door gedupeerd zijn.
Na het optreden van een datalek moeten passende maatregelen genomen worden om te voorkomen
dat het datalek voortduurt of uitbreidt en moeten gedupeerden en de AP geïnformeerd worden. Het
niet melden van een datalek kan bestraft worden met een boete. Ook moeten maatregelen getroffen
worden om te voorkomen dat zo’n datalek nogmaals optreedt.

Wie is eigenaar van persoonsgegevens?
Het eigendom van data is juridisch een lastig begip. Daarom wordt in de wet gesproken over
verantwoordelijkheid in plaats van eigendom. Een verantwoordelijke is een onderneming die
persoonsgegevens verkrijgt van de consument en die zelfstandig bepaalt voor welke toepassing ze
gebruikt worden. Een verantwoordelijke mag data alleen met instemming van consumenten verwerven,
Nieuwe privacy wet Pagina 2 van 3
ook wel opt-in genoemd, in tegenstelling tot het voorheen gebruikelijke opt-out. Deze opt-in
instemming moet achteraf aantoonbaar zijn. Een verantwoordelijke moet er op toezien dat
persoonsgegevens goed beschermd worden. Hij communiceert transparant in een privacy statement
welke gegevens hij gebruikt en waarvoor en hoe lang deze bewaard blijven.

Wat is een verwerker?
Een verwerker is een derde partij die in opdracht van een verantwoordelijke persoonsgegevens
verwerkt, zoals bijvoorbeeld Valk Solutions als software as a service (saas) aanbieder. Maar ook
bijvoorbeeld een ecommerce en marketing dienstverlener is een verwerker. Het woord verwerker kan
misleidend zijn, het hoeft niet te betekenen dat persoonsgegevens aangepast worden, alleen al het
bewaren of doorgeven ervan geldt als verwerking. In een verwerkersovereenkomst leggen een
verantwoordelijke en een verwerker hun afspraken vast omtrent de zorgvuldige omgang van
persoonsgegevens conform de AVG.

Is Valk Solutions voorbereid op de AVG?
Jazeker. In 2016 hebben we een ISO 27001 certificaat gehaald voor informatiebeveiliging. In 2017
aangevuld met een ISAE 3402 type 1 verklaring en in 2018 met een ISAE 3402 type 2 verklaring. Dat
betekent dat de beveiliging van onze ASPOS dienstverlening is getoetst door onafhankelijke
accountants aan een internationaal normenkader. Jaarlijks worden we geherauditeerd. Ook hebben we
externe penetratietests uitgevoerd waarbij professionele hackers hebben geprobeerd onze systemen te
kraken. Naar aanleiding van de bevindingen uit al deze audits en tests is onze beveiliging aangescherpt.
Onze eigen functionaris gegevensbescherming (FG) ziet toe op de naleving van de voorschriften.
Waterdichte garanties bestaan niet, maar we hebben er binnen de huidige mogelijkheden alles aan
gedaan wat redelijkerwijs verwacht kan worden om persoonsgegevens te beschermen.

Maar de cloud is toch niet veilig?
Valk Solutions werkt in een managed cloud. Dit betekent dat de persoonsgegevens centraal staan
opgeslagen in een streng beveiligd en van het internet afgeschermd datacenter met volcontinu
bewaking en monitoring. Alle systemen zijn dubbel uitgevoerd en elke 15 minuten wordt een
automatische backup gemaakt zodat de data nooit verloren gaan. We durven met een gerust hart te
stellen dat deze cloud veiliger is dan de toonbank in de winkel, of de archiefkast op kantoor.

Welke beveiligingsmaatregelen zijn er zoal?
Valk Solutions werkt met een gelaagd beveiligingsmodel op fysiek, technisch, logisch en organisatorisch
niveau. Op fysiek niveau zijn onze kantoorpanden en technische locaties beveiligd met sloten, hekken,
alarmen, camera’s en bewakers. Op technisch niveau zijn onze netwerken en systemen redundant
uitgevoerd en afgeschermd middels firewalls, antivirus en antimalware filters. Op logisch niveau zijn de
data encrypted en ondersteunt de software beveiliging van persoonsgegevens met een rechtenstruc-
tuur en een sterk wachtwoordbeleid. Op organisatorisch niveau werken we met deskundig personeel
dat zich bewust is van risico’s en verantwoordelijkheden. Onze medewerkers zijn gescreend op
onbesproken gedrag en hebben getekend voor een gedragscode van zorgvuldigheid en geheimhouding.

Hoe ondersteunt ASPOS de AVG?
ASPOS is gecertificeerd volgens de internationale normen van ISO 27001 en ISAE 3402. ASPOS
ondersteunt een sterk wachtwoordbeleid waarin wachtwoorden van gebruikers worden gecontroleerd
op aantal karakters en alfanumericiteit en periodiek vernieuwd moeten worden. ASPOS is alleen
Nieuwe privacy wet Pagina 3 van 3
toegankelijk in een beveiligde browser (https) en vanaf bekende IP adressen (IP whitelisted). ASPOS
voorziet in een rechtenstructuur waarin ondernemers en retail organisaties rechten kunnen toekennen
aan gebruikers. Bijvoorbeeld het in bulk exporteren van klantgegevens kan alleen als een gebruiker
daartoe rechten heeft. Vanaf de nieuwe versie van 2018 ondersteunt ASPOS tevens een vergetelheids-
knop, waarmee persoonsgegevens van een individuele klant gewist kunnen worden. Onze API
koppeling met derden zoals CRM partijen ondersteunen opt-in, waarbij aan klanten wordt gevraagd of
zij er mee instemmen dat hun persoonsgegevens gebruikt worden.

Dus de retailer hoeft niets meer te doen?
Jawel. In uw eigen domein moet u toezien op de zorgvuldige omgang met persoonsgegevens. Is uw
personeel bewust van de risico’s en verantwoordelijkheden? Houden zij zich aan gedragsregels met
bijvoorbeeld sterke wachtwoorden? Kunt u aantonen dat persoonsgegevens met instemming van uw
klanten verkregen zijn? Gebruikt u persoonsgegevens alleen voor het doel waarvoor ze verkregen zijn?
Bewaart u persoonsgegevens niet langer dan nodig? Zijn de rechten van uw klanten gewaarborgd,
bijvoorbeeld het recht om hun gegevens in te zien, te wijzigen en uit uw systemen te laten wissen?
Heeft u het privacy beleid van uw onderneming op de website gepubliceerd? Zijn er verwerkers-
overeenkomsten van kracht met derden die in uw opdracht persoonsgegevens behandelen? En last but
not least, heeft u een procedure geïmplementeerd voor de meldplicht datalekken?

Hoe zit dat met franchise?
Wie doet wat met persoonsgegevens in franchise organisaties? Hoe worden verplichtingen en
verantwoordelijkheden van de AVG geborgd tussen franchisenemers en franchisegevers? Daar doet de
privacy wet geen uitspraken over, dat is aan franchisegevers en franchisenemers om samen afspraken
over te maken. Mogelijk is al veel vastgelegd in de vigerende franchise overeenkomst, of anders kunt u
deze aanvullen. In veel gevallen zal de franchisenemer verantwoordelijke zijn en de franchisegever
verwerker. De franchise overeenkomst kan dienst doen als verwerkersovereenkomst, of een
aanvullende verwerkersovereenkomst kan worden afgesloten, waarin precies staat beschreven welke
verwerkingen uitgevoerd worden en hoe de privacy gewaarborgd is. Voorbeelden van verwerkers-
overeenkomsten zijn te vinden op de website van de Autoriteit Persoonsgegevens.

Is ProPOSS ook klaar voor AVG?
Jazeker, de ProPOSS software is beveiligd met een wachtwoord. Zorg dat u een sterk wachtwoord kiest met letters, cijfers en tekens in tenminste 10 karakters. Toegang tot klantgegevens op een ProPOSS kassa of backoffice PC is uitsluitend mogelijk indien het juiste wachtwoord wordt ingevoerd en de betreffende rechten zijn toegekend aan de ingelogde gebruiker. Vanaf de nieuwe versie van 2018 ondersteunt ook ProPOSS een vergetelheidsknop waarmee persoonsgegevens van een individuele klant gewist kunnen worden. In ProPOSS staan de klantgegevens lokaal op uw PC opgeslagen. Laat uw systeem dus niet onbeheerd achter en geef alleen toegang aan bevoegden.

Meer weten?
Op de website van de Autoriteit Persoonsgegevens is nog veel meer nuttige informatie te vinden. Ook
onze Klantenservice adviseert u graag. Waarbij het goed is om in uw achterhoofd te houden dat we als
verwerker niet op uw stoel als verantwoordelijke kunnen gaan zitten. In dit document hebben we onze
interpretatie van de AVG gegeven, het is zeker van belang om u er zelf in te verdiepen of u te laten
adviseren door een jurist.

Montfoort, maart 2018

 

Naar overzicht ervaringen