In 10 stappen naar privacy

Het Privacy 10 stappen plan is ontwikkeld om bedrijven en organisaties te helpen met de communicatiestromen tussen het bedrijf en haar klant, binnen de richtlijnen van de algemene verordening gegevensbescherming (AVG). Het Stappenplan is geen technisch of juridisch verhaal, het geeft praktische richtlijnen en tips over hoe bijvoorbeeld om te gaan met de persoonsgegevens van je klanten tijdens de communicatie. Wat zijn de Do’s en wat zijn de Dont’s.Het  levert een maximalisering op van de dienstverlening en brengt het, mits goed geimplementeerd, een grote kostenbesparing met zich mee. 

Om vooraf in te schatten hoe groot de verbetering is van de dienstverlening en hoeveel kostenbesparing het 10 stappenplan kan realiseren, heeft Mediascope de Privacy Impact Analyse ontwikkeld.

Voor bedrijven, gemeenten en de overheid

Bedrijven, zorginstellingen, gemeenten dienen in hun online communicatie rekening te houden met de AVG waarin bescherming van persoonsgegevens centraal staat. Er staan veel regels in deze wet. Deze regels worden steeds verder aangescherpt. Boetes worden steeds hoger en ook vaker uitgedeeld. 

Vaak is Privacy een steekspel tussen de afdeling ICT en de Juristen. En meestal gaat het resultaat van dit spel ten koste van de content en User Experience van de gebruiker. En dat terwijl de gebruiker al lang gewend is aan Privacy. Immers de consument wordt dagelijks geconfronteerd met Privacy op bijvoorbeeld Facebook of Google. Het is voor de consument niet vreemd via de SMS of via een e-mail een code te krijgen, om in te loggen op de website. De klant vind het zelfs fijn als hij of zij het gevoel heeft dat haar gegevens veilig zijn en dat niemand kan inloggen, zodat dat hij/zij het weet. 

Het 10 stappen plan levert een maximalisering op van de dienstverlening en brengt het een enorme kostenbesparing met zich mee.

Wilt u communiceren binnen de privacywet- en regelgeving, dan is het aan te raden om alle stappen van het 10 stappenplan te doorlopen. Gebruik deze stappen voor elk nieuw project of controleer of de bestaande communicatie al voldoet aan de privacy.

Om vooraf in te schatten hoe groot de verbetering is van de dienstverlening en hoeveel kostenbesparing het 10 stappenplan kan realiseren, heeft Mediascope de Privacy Impact Analyse ontwikkeld. Zo weet u in korte tijd of u voldoet aan de eisen zoals die gesteld worden. Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope omtrent de kostenbesparing en de maximalisering van de dienstverlening.

In 10 stappen naar Privacy

De algemene verordening gegevensbescherming bevat op Europese leest geschoeide regels voor de omgang met persoonsgegevens. Deze wet bestrijkt vrijwel alle sectoren in de maatschappij en geldt zowel voor de overheid als voor het bedrijfsleven. De AVG voorziet in een onafhankelijke toezichthouder, de Autoriteit Persoonsgegevens. De wet biedt daarnaast de mogelijkheid om een interne, binnen het bedrijf, toezichthouder aan te stellen: de functionaris voor de gegevensbescherming.

De functionaris voor de gegevensbescherming (FG) is iemand binnen de organisatie en houdt onafhankelijk toezicht op de toepassing en naleving van de AVG. Meldingen van verwerkingen van persoonsgegevens kunnen bij deze functionaris worden gedaan. Tevens is hij een deskundig aanspreekpunt voor de verantwoordelijke. Ook kan hij als contactpersoon optreden voor mensen van wie persoonsgegevens worden verwerkt: klanten, personeelsleden en burgers. Benoeming van een functionaris voor de gegevensbescherming leidt ertoe dat de Autoriteit Persoonsgegevens zich terughoudend opstelt ten aanzien van organisaties waarin deze FG naar behoren werkzaam is.

De FG moet worden aangemeld bij de Autoriteit Persoonsgegevens, die een lijst van organisaties met dergelijke functionarissen bijhoudt. Tenslotte bepaalt de AVG dat de FG een jaarverslag moet uitbrengen. Dit jaarverslag staat niet gedefinieerd en de Autoriteit Persoonsgegevens verwacht dat het opgestuurd wordt aan de Autoriteit Persoonsgegevens maar dit is niet verplicht. Vaak wordt het privacy deel in het jaarlijks verslag van het bedrijf behandeld. 

De bevoegdheden van de FG staan in artikel 58 van de AVG. Hij houdt er toezicht op dat de verwerking van persoonsgegevens in de organisatie die hem heeft aangesteld, plaatsvindt in overeenstemming met de AVG. Indien er binnen de organisatie een gedragscode bestaat voor gegevensverwerkingen, dan strekt het toezicht van de functionaris zich ook uit tot de naleving van deze gedragscode.

Voordat een nieuw verwerkingsactiviteit, bijvoorbeeld ‘aanvraag verhuizen’, wordt gestart, wordt een verantwoordelijke toegewezen. Dit kan een redacteur (diensten) of een domeincoördinator (CMO) zijn. De, natuurlijke, persoon is verantwoordelijk voor alle 10 stappen van het plan en de verwerking hiervan voor de specifieke activiteit.

Deze verantwoordelijkheid wordt overigens vaak vanuit de ‘code of conduct’ neergelegd bij de onderneming. Zij is de natuurlijke persoon als het gaat om degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. Met andere woorden. De code of conduct beschrijft hoe de verwerker zijn werkzaamheden moet uitvoeren. Als de werknemer de werkzaamheden uitvoert zoals beschreven in de Code of Conduct, dan wordt de verantwoordelijkheid verplaatst/verschoven naar de werkgever, zij die de Code of Conduct heeft opgesteld.

De intern verantwoordelijke functionaris onderzoekt of de werkgever de enige verantwoordelijke is voor de verwerking van persoonsgegevens. Het kan zijn dat bijvoorbeeld een email-provider of een andere externe leverancier mede verantwoordelijk is voor de persoonsgegevens. Is dit laatste het geval, dan hebben de verschillende partijen iedere verantwoordelijkheid voor het eigen deel van verwerking. Een overeenkomst tussen de verschillende partijen wordt afgesloten om de bescherming van de persoonsgegevens te garanderen.

TIP

  • Contractueel vastleggen samenwerking igv meerdere gegevens verwerkers.
  • De redacteur die verantwoordelijk is voor de interactie met de gebruiker is tevens verantwoordelijk voor de invulling van het 10 stappen plan. 
  • Per activiteit zijn er 2 verantwoordelijken, de FG en de intern verantwoordelijke proceseigenaar

Ieder bedrijf heeft verschillende campagnes en acties met bijbehorende contactmomenten. Voor ieder contactmoment is het belangrijk om het doel te bepalen en de daarbij behorende persoonsgegevens. Dit is noodzakelijk, ook omdat vaak toestemming nodig is van de persoon in kwestie, zie ‘STAP 6’. Om toestemming te verkrijgen van de gebruiker, zal deze gebruiker natuurlijk moeten weten wat de reden is van het doel.

Nadat het doel van het verzamelen van gegevens is bepaald in stap 2, wordt gekeken naar de relevante data die hiervoor nodig is. Welke informatie heb je nodig, van een bewoner, om zowel technisch als organisatorisch een verhuizing door te voeren.

Er zijn 3 typen of persoonlijke gegevens:

  • Reguliere persoonsgegevens
  • Sensitieve persoonsgegevens
  • Persoonsgegevens voor bepaling identiteit, als paspoortnummer

Sensitieve persoonsgegevens en gegevens voor de bepaling van de identiteit worden ook wel bijzondere gegevens genoemd. Artikel 22 van de AVG bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag daarvoor.

Let op, de sensitieve persoonsgegevens is een vast set gegevens. Ze staan vermeld in het gegevensmodel om te zorgen dat de bijzondere (sensitieve) persoonsgegegevens specifiek gemeld worden

Het AVG kan op grond van artikel 22, onder e van AVG een ontheffing verlenen, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en ook passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

TIP

  • Adequate maatregelen om persoonsgegevens te verwerken en beheren moeten geïmplementeerd worden.
    Met name sensitieve en ID persoonsgegevens dienen met zorg te worden bewerkt en beheerd. Het is gewenst om verwerking van sensitieve data altijd te overleggen met een FG.

De AVG beschrijft dat persoonsgegevens alleen verzameld mogen worden als deze ook absoluut nodig zijn. Overvloedige informatie is niet gewenst of toegestaan. Bovendien mag deze data alleen verzameld worden op het moment dat de data nodig is.

Nadat duidelijk is geworden welke persoonsgegevens nodig zijn voor de activiteit (stap 3) dient men te onderzoeken of deze data noodzakelijk is en niet overvloedig is aan het doel (stap 2).

TIP
Hoe minder persoonsgegevens verzameld worden per activiteit, hoe lager het risico is dat het conflicteert met de Privacy wet. Er zijn dan minder maatregelen die geïmplementeerd hoeven te worden om de data te beheren en/of te beveiligen.

Vraag jezelf altijd af:

  • zijn de persoonsgevens relevant?
  • zijn de persoonsgevens noodzakelijk?
  • zijn de persoonsgegevens niet overmatig, wordt de informatie op het juiste moment gevraagd?
  • zijn de persoonsgegevens beheersbaar

Als alle vragen met ‘Ja’ beantwoord kunnen worden dan is de verzameling van persoonsgegevens nodig en gewenst. Zo niet, dan is het niet verantwoord om de persoonsgegevens te gaan verwerken.

Voorbeeld: Als een bedrijf iemand in dienst wil nemen is uiteindelijk een BSN nummer nodig voor fiscale regelingen. Als de overeenkomst gesloten is.

Er zijn 2 manieren:

  1. Bij de sollicitatie en in de motivatiebrief wordt om het BSN nummer gevraagd aan de werknemer.
  2. Wanneer de sollicitant is aangenomen dan pas wordt het BSN nummer gevraagd. Immers van de mensen die niet aangenomen zijn, is geen BSN nummer nodig.

De tweede optie is de enige goede optie.

Elk natuurlijke persoon of instelling (betrokkene) waarvan persoonsgegevens verwerkt of beheerd worden, moet hiervoor vrijwillig en expliciet toestemming hebben gegeven. Voordat gestart wordt met de verzameling en het beheer van persoonsgegevens dient de betrokkene toestemming te hebben gegeven. Het liefst getekend op papier. In geval van sensitieve data is een geschreven toestemming altijd gewenst. Er zijn enkele uitzonderingen op deze regel. Met name binnen de BRP gelden andere regels.

In het geval dat de werkgever persoonsgegevens verzamelt via internet dan is er geen mogelijkheid om een geschreven toestemming te verkrijgen. In dit geval kan je de betrokkene om expliciete toestemming vragen door middel van een opt-in methode. In geval van commerciële mededelingen wordt er een zogenaamde dubbele opt-in gevraagd. Een betrokkene moet expliciet 2 keer toestemming geven. Bijvoorbeeld door het ‘aanvinken’ van een optie gevolgd door een waarschuwing die je ook moet bevestigen. Een ander voorbeeld is een bevestigingsemail die verstuurd wordt naar de persoon. In deze email staat een linkje waar je op moet klikken zodat de tweede toestemming geactiveerd wordt.

Vanuit de BRP bestaan vrijstellingen voor het aanmelden van persoonsgegevens. Deze vallen onder het BRP regime. In hoofdstuk 3 staat informatie over de BRP. Dit geld met name over overheid en gemeenten.

TIP

  • Voeg een standaard ‘privacy statement’ toe een de website die geldig is voor alle formulieren.
  • Voeg een standaard ‘privacy statement’ voor de levering van ‘statistische informatie’ aan derden.
  • Gebruik een opt-in of dubbele opt-in in alle webformulieren.
  • Bewaar de (geschreven) toestemming van de gebruiker zo lang de gegevens van die gebruiker verwerkt worden.
  • Controleer vrijstelling vanuit de BRP

Wanneer gegevens niet alleen verwerkt of beheerd worden bij de werkgever dan is er sprake van gegevensstromen met (vrije)derden (bijvoorbeeld: leveranciers). In geval van gegevensstromen naar derden is het noodzakelijk om een duidelijk maatregelenpakket te beschrijven.

Dit maatregelenpakket bevat minimaal de volgende informatie:

  • De namen van derden (leveranciers)
  • De persoonsgegevens die getransporteerd worden
  • Het doel van de gegevensoverdracht
  • Toestemming van de verantwoordelijke van het deelproces

TIP

  • De personen waarvan de persoonsgegevens overgedragen worden, dienen hiervan op de hoogte te zijn.
  • Als de gegevensstroom naar derden alleen statistische informatie bevat die niet gerelateerd kan worden bestaande personen, dan volstaat een algemene vermelding in de ‘privacy statements’ van de werkgever.

Wanneer je persoonsgegevens verzamelt voor een specifiek doel, dan is het niet toegestaan om deze gegevens te gebruiken voor een ander doel. Tenzij de personen hiervoor toestemming hebben gegegeven. Deze permissie moet minimaal op papier staan of dubbel bevestigd in geval van elektronische toestemming. Dit alles om te bewijzen dat je de specifieke toestemming hebt verkregen van de betreffende persoon.

Voorbeeld: Betrokkene XYZ heeft toestemming gegeven om een nieuwsbrief X te ontvangen. Dan niet toegestaan om persoon XYZ een nieuwsbrief Y te versturen met een ander doel.

Belangrijk: Mocht je persoonsgegevens gebruiken voor meerdere doelen, dan is het belangrijk om het doel van de actie voldoende ruim te omschrijven. Hoe breder de doelstelling hoe meer mogelijkhden er bestaan om de informatie te verwerken.

TIP

  • Allereerst moet worden bepaald welke persoonsgegevens noodzakelijk zijn om de dienst te kunnen verlenen.
  • Bij het vaststellen van de noodzaak tot het verwerken van persoonsgegevens moet uitgegaan worden van de gedachte ‘hoe minder persoonsgegevens we verwerken, hoe beter’.
  • In deze fase moet u rekening houden met feit dat bij de gegevensverwerking  meerdere organisaties en organisatieonderdelen betrokken kunnen zijn. Ieder belanghebbend onderdeel zal inspraak willen hebben in de bepaling welke persoonsgegevens moeten worden verzameld.
  • Deze fase levert een overzicht op waarin uiteen is gezet welke persoonsgegevens om welke reden moeten worden verwerkt.
    Per slot van rekening kan geen misbruik worden gemaakt van gegevens die niet worden verzameld en is er minder inspanning nodig voor het beheer en de beveiliging van de persoonsgegevens.
  • Maak de doelstelling niet te eng. Dit geeft weinig mogelijkheden voor opvolging van je campagne. Definieer een aantal grote campagnes bijvoorbeeld het “verzamelen van emailadressen tbv communicatie”, “selecteren doelgroep voor vrijwilligerswerk” of “ihkv 50% digitale communicatie in 2014 profielen verzamelen en onderhouden”.
  • Geef wel een concrete opsomming v/d activiteiten

Persoonsgegevens die worden verwerkt en/of beheerd dienen adequaat beveiligd te worden tegen verlies, schade, diefstal of ongewenste toegang. Voor sensitieve persoonsgegevens dienen de beveiligingseisen nog hoger te zijn vanwege het grotere risico wat er mee gemoeid is.

Gebruik alleen servers en systemen die voldoende beveiligd kunnen worden. Bescherm het netwerk tegen binnendringers. Maak gebruik van virus en firewall software.

Wanneer het verwerken van persoonsgegevens extern uitgevoerd wordt, dan moet een overeenkomst gesloten worden tussen de werkgever en de derde partij ten aanzien van bescherming van persoonsgegevens.

TIP

  • Alle werknemers dienen geïnformeerd te worden over de bescherming van persoonsgegevens en de richtlijnen om deze gegevens te verwerken
  • Alleen verantwoordelijke personen verkrijgen toegang tot de persoonsgegevens
  • Elke gebruiker moet een eigen unieke toegangscode hebben om in te loggen in de database of applicatie
  • Elke toegangscode moet voorzien zijn van een sterk beveiligd wachtwoord
  • De verwerking van persoonsgegevens moet worden gelogd door de applicatie en database
  • Rechten en rollen van gebruikers dienen periodiek gecontroleerd
  • Sensitieve persoonsgegevens dienen zeer beveiligd te worden, het liefst ge-encrypt
  • Firewalls en antivirus programma’s dienen te worden geïnstalleerd
  • In geval van externe dataverwerking dient er altijd een overeenkomst te bestaan
  • De bescherming en encrypting van harde schijven van laptops, mobiele devices en andere schermen is zeer gewenst.

Wanneer een bedrijfsactiviteit op z’n einde loopt dan is het nodig om de persoonsgegevens te archiveren. Bewaar gearchiveerde persoonsgegevens altijd op een veilige en beheersbare manier.

Wanneer data gearchiveerd wordt, wordt de retentie periode voor dat doel in acht genomen. Ook wanneer back-ups gemaakt worden van deze data, dan dienen de back-ups net zo veilig behandeld te worden als de oorspronkelijke data.

In het geval dat de werkgever gearchiveerde data opnieuw wilt gebruiken, dan dient hiervoor toestemming aanwezig te zijn van de betrokkene.

Vanuit het programma ‘Excellente Informatiebeveiliging’ uit 2008 wordt jaarlijks gecontroleerd of de technologie voldoet aan de Privacy wet- en regelgeving.

TIP

  • Hou ook rekening met andere retentie perioden als bijvoorbeeld de minimale bewaarplicht van bedrijfsgegevens of bijvoorbeeld de belasting wetgeving.

Wanneer de activiteit afgelopen is, of vanwege een expliciete vraag van een betrokkene, worden alle gegevens definitief verwijderd en vernietigd.

In het geval van gegevens uit het GBA gelden andere voorwaarden ten aanzien van het verwijderen van persoonsgegevens.

TIP

  • De vernietiging moet worden gedefinieerd. Er moet bewijs zijn van de vernietiging van de persoonsgegevens.
    Vernietig ook de back-upgegevens
  • Zorg ervoor dat harde schijven van computers en andere opslagmedia geleegd en geformatteerd worden bij doorverkoop aan derden
  • In geval de betrokkene het bepaald zullen alle gegevens worden weggegooid. Er zijn uitzonderingen voor deze regel. Bijvoorbeeld dat gegevens 9 jaar bewaard moeten blijven voor belasting doeleinden.
Het 10 stappen plan levert uw bedrijf een maximalisering op van de dienstverlening en brengt het een enorme kostenbesparing met zich mee. Om vooraf in te schatten hoe groot de verbetering is van de dienstverlening en hoeveel kostenbesparing uw bedrijf kan realiseren, heeft Mediascope de Privacy Impact Analyse ontwikkeld.

De Privacy Impact Analyse

 

Voldoet uw communicatie aan alle Europese eisen als het gaat om bescherming van persoonsgegevens?
Met de Privacy Impact Analyse krijgt u direct inzicht.

De Privacy Impact Analyse biedt u als organisatie of bedrijf de mogelijkheid om in 10 stappen helder inzicht te krijgen in uw communicatiestromen. Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope waarmee u direct uit de voeten kan en mogelijke problemen op voorhand kunt voorkomen. Dankzij de Privacy Impact Analyse krijgt u binnen 4 weken antwoord op uw vragen.

Dit wordt gedaan in de vorm van het 10 stappen plan. In 
10 stappen wordt uw bedrijf of gemeente doorgelicht en worden aanbevelingen gedaan over zowel de Privacy als de digitalisering van uw communicatie. Op basis van de resultaten van de Privacy Impact Analyse kan bepaald worden welke trajecten nodig zijn voor het vervolg, de daadwerkelijk implementatie van het 10 Stappenplan.

Binnen het Privacy Impact Analyse worden een aantal specifieke oplossingen voorgelegd.  De oplossingen zijn zowel technologisch als theoretisch, gebaseerd op Privacy Enhanced Technologies, die ingezet kunnen worden om specifieke onderdelen van de communicatiestromen op te lossen.

Denk hierbij aan verklaringen voor de Privacy of gebruikersovereenkomsten, privacy audits, beveiligde e-mail of het digitaliseren van bedrijfsprocessen.

Het digitaliseren van de communicatiestromen levert  een maximalisering op van de dienstverlening en brengt het een enorme kostenbesparing met zich mee. Het digitaliseren van de communicatiestromen levert een overall communicatiesysteem op waar e-mailfunctionaliteit gekoppeld wordt aan uw bedrijfsprocessen. Via dit e-mailplatform wordt alle digitale communicatie automatisch afgehandeld, of het nu salarisstroken, facturen, aanmaningen, medische dossiers of paspoort aanvragen zijn, maakt voor het systeem niets uit.

Advies op maat en sector specifiek

De implementatie van het 10 Stappenplan levert uiteindelijk een systeem op waar contactgegevens (persoonsgegevens) gekoppeld worden aan externe systemen. Voor iedere branche zijn er specifieke koppelingen. Een voorbeeld hiervan is een koppeling met het CRM of met het BRP voor gemeenten. Hierdoor kan men specifieke aanvragen van geregistreerde bewoners uitvoeren. Een ander voorbeeld is een koppeling met huidige basissysteem van het HIS, ZIS, of andere zorgaanbieders.

Wilt u weten hoeveel kosten er bespaard kunnen worden binnen uw gemeente of instelling? Laat ons u een presentatie geven, het kost u slechts een uurtje van uw tijd. Neem contact op of bel ons voor een afspraak.

Voordelen digitaliseren

De voordelen zijn:
☑︎ Maximaliseren kostenbesparing / Papierloos communiceren
☑︎ Privacy by design / voldoen aan de laatste eisen
☑︎Koppeling met het BRP of ZIS / verschillende API’s met overheidssystemen
☑︎Maximaliseren dienstverlening / door middel van campagnes proactief communiceren
☑︎Beveiligd e-mailplatform voor notificaties / communicatie

Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope omtrent de kostenbesparing en de maximalisering van de dienstverlening, oftewel uw kwaliteitsstempel. Wilt u meer weten over deze methode of wilt u weten wat de impact is voor uw bedrijf, laat het ons weten. We komen graag bij u langs.

Wilt u weten hoeveel kosten er bespaard kunnen worden binnen uw bedrijf, gemeente of instelling? Laat ons u een presentatie geven, het kost u slechts een uurtje van uw tijd. Bel ons voor een afspraak.A

Resultaat

Door bedrijfsprocessen te digitaliseren kunt u een enorme reductie van uw communicatiekosten realiseren. Bovendien kunt u door digitaliseren van uw processen pro actief reageren op vragen vanuit de markt.

U kunt rekenen op een concreet en gedegen advies van Mediascope omtrent de Privacy en de optimalisatie van uw communicatiestromen oftewel uw kwaliteitsstempel.

Op basis van de resultaten van de Privacy Impact Analyse kan bepaald worden welke trajecten nodig zijn voor het vervolg, het daadwerkelijk implementeren van de resultaten middels het 
10 Stappenplan.

De implementatie van het 10 Stappenplan levert een communicatiesysteem op waar een e-mailplatform gekoppeld wordt aan uw bedrijfs-processen. Via dit e-mailplatform wordt de digitale communicatie automatisch afgehandeld.

De integratie van digitale communicatie binnen uw bedrijfsproces levert de hoogste kostenbesparing op.

Neem contact op

Wilt u informatie krijgen over de privacy gevoeligheden van uw nieuwe campagne? Wij kunnen en willen u hierbij graag helpen. We kunnen helpen met het beantwoorden van een enkele vraag tot de ondersteuning bij uw technologische implementaties. 

    in 10 stappen naar Privacy by Design
    10stappensolo

    ©2021, by Mediascope

    10 Stappen is een idee en uitwerking van MediascopeHergebruik van informatie van deze website, zonder overleg met Mediascope, is niet toegestaan. 

    De privacy disclaimer en algemene voorwaarden zijn dan ook van Mediascope.