Softwarepakketten.nl

Wiki Selectie van standaard software

Checklist AVG en selectie softwaresystemen

We hebben in de praktijk al langer te maken met de “Wet bescherming persoonsgegevens” (Wbp), de Nederlandse uitwerking van een EU-privacyrichtlijn uit 1995. De Wbp geeft betrokkenen (degenen van wie persoonsgegevens worden verwerkt) een aantal rechten. Zoals het verzoeken om inzage, correctie of zelfs verwijdering van hun persoonsgegevens bij organisaties.

De Algemene verordening gegevensbescherming (AVG) is de Nederlandse implementatie van de General Data Protection Regulation (GDPR) en is op 25 mei 2018 in werking getreden en vervangt de hiervoor genoemde EU-privacyrichtlijn uit 1995. De Wbp komt dan ook te vervallen, net als nationale privacywetten van de andere EU-lidstaten.

Het is van belang al bij het aangaan van softwarecontracten rekening te houden met de AVG.

Specifiek noemen we:

  • Datalek en Autoriteit Persoonsgegevens
    Sinds 1 januari 2016 bent u verplicht om een (ernstig) datalek direct te melden aan de Autoriteit Persoonsgegevens, voorheen College bescherming persoonsgegevens (CBP).

    Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Maar wat verstaan we eigenlijk onder een datalek? Als er alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. In het laatste geval hoeft geen melding gedaan te worden aan de Autoriteit Persoonsgegevens (bron: De IT-Jurist).
      
  • Dataportabiliteit
    De AVG voegt een nieuw recht toe voor personen, te weten: het recht op dataportabiliteit. Oftewel overdraagbaarheid van persoonsgegevens. Dit laatste geeft betrokkenen het recht om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Dat gaat dus duidelijk verder dan alleen maar inzien.

    De Autoriteit Persoonsgegevens meldt over dataportabiliteit onder meer het volgende:
    Betrokkenen moeten betreffende gegevens zelf kunnen opslaan voor persoonlijk (her)gebruik. Ook kunnen ze de gegevens doorgeven aan een andere organisatie. Bijvoorbeeld als ze willen overstappen naar een andere telecomprovider of als ze een dienst van een andere organisatie willen gebruiken, zoals een online huishoudboekje. De organisatie die de gegevens verstrekt, mag betrokkenen hierin niet tegenwerken.

    Het gaat bij dataportabiliteit uitsluitend om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

    Er moet voor gezorgd worden dat de betrokkenen hun gegevens makkelijk kunnen krijgen en doorgeven. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine-leesbaar formaat te verstrekken.

    Overzetten per medewerker
    Uit bovenstaande kunnen we afleiden dat dataportabiliteit ook betrekking heeft op gegevens van betrokkenen uit bijvoorbeeld de salaris- en HRM-administratie. Enerzijds voor persoonlijk her)gebruik door de betrokkene, maar anderzijds om gegevens te kunnen doorgeven aan een andere organisatie. Het moet dan mogelijk zijn om gegevens van een betrokkene over te zetten van het ene naar het andere salaris- en/of HRM-softwaresysteem. Dus geen integrale conversie van alle werknemers, maar van een individuele werknemer.

    Bewaarplicht
    Basisgegevens, waaronder ook de loonadministratie wordt verstaan, moeten in de regel wettelijk zeven jaar bewaard worden. Binnen een redelijke termijn moeten gegevens toegankelijk en controleerbaar zijn. In principe moeten gegevens in hun originele vorm bewaard worden. Ook als de administratie verzorgd wordt door een administratiekantoor of een salaris service bureau vallen de gegevensdragers daarvan, waarop gegevens staan van uw onderneming, onder de wettelijke bewaarplicht.

    Let op:
    Vanwege de fiscale bewaarplicht moet een werkgever de salarisgegevens van een betrokkene in elk geval zeven jaar bewaren, ook al worden diezelfde gegevens doorgegeven aan een andere organisatie in het kader van het recht op dataportabiliteit.  

  • Verwerkersovereenkomst
    Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Dan zijn u en de verwerker volgens de AVG verplicht om een aantal onderwerpen vast te leggen in een schriftelijke “verwerkersovereenkomst” (conform artikel 28, lid 3 van de AVG). Geheimhouding en beveiliging spelen hierbij een belangrijke rol. En de al bestaande meldplicht datalekken is binnen de AVG nog wat verder aangescherpt.
      
  • Overzicht verwerkingen
    Een organisatie moet ook inzichtelijk maken hoe en welke persoonsgegevens verwerkt worden. Welke persoonsgegevens worden gebruikt, met welk doel, waar worden ze opgeslagen en wie hebben toegang tot die gegevens. Mogelijk kan een softwareleverancier  ondersteuning bieden voor het opstellen van een “overzicht verwerkingen”. Denk bijvoorbeeld aan een overzicht weke persoonsgegevens aanwezig zijn in het systeem en met welk doel.

 Voor uitgebreide informatie over de AVG verwijzen we naar:

Gerelateerd:

  • Pricavy reglement
    Is er een privacy reglement? Oftewel hebben medewerkers getekend voor geheimhouding. Dt wordt geregeld in de arbeidsovereenkomst tussen werkgever en werknemer. In relatie tot software zeker van belang bij Cloud-computer, waarbij werknemers van een cloudaanbieder toegang hebben tot vrtrouwelijke gegevens, zoals cliëntgegevens.

 



Onerzoeksbureau GBNED