Het “Privacy 10 stappen plan” is ontwikkeld om bedrijven en organisaties te helpen met de communicatiestromen tussen het bedrijf en haar klant, binnen de richtlijnen van de algemene verordening gegevensbescherming (AVG). Het Stappenplan is geen technisch of juridisch verhaal, het geeft praktische richtlijnen en tips over hoe bijvoorbeeld om te gaan met de persoonsgegevens van je klanten tijdens de communicatie. Wat zijn de Do’s en wat zijn de Dont’s.Het levert een maximalisering op van de dienstverlening en brengt het, mits goed geimplementeerd, een grote kostenbesparing met zich mee.
Om vooraf in te schatten hoe groot de verbetering is van de dienstverlening en hoeveel kostenbesparing het 10 stappenplan kan realiseren, heeft Mediascope de Privacy Impact Analyse ontwikkeld.
Bedrijven, zorginstellingen, gemeenten dienen in hun online communicatie rekening te houden met de AVG waarin bescherming van persoonsgegevens centraal staat. Er staan veel regels in deze wet. Deze regels worden steeds verder aangescherpt. Boetes worden steeds hoger en ook vaker uitgedeeld.
Vaak is Privacy een steekspel tussen de afdeling ICT en de Juristen. En meestal gaat het resultaat van dit spel ten koste van de content en User Experience van de gebruiker. En dat terwijl de gebruiker al lang gewend is aan Privacy. Immers de consument wordt dagelijks geconfronteerd met Privacy op bijvoorbeeld Facebook of Google. Het is voor de consument niet vreemd via de SMS of via een e-mail een code te krijgen, om in te loggen op de website. De klant vind het zelfs fijn als hij of zij het gevoel heeft dat haar gegevens veilig zijn en dat niemand kan inloggen, zodat dat hij/zij het weet.
Het 10 stappen plan levert een maximalisering op van de dienstverlening en brengt het een enorme kostenbesparing met zich mee.
Wilt u communiceren binnen de privacywet- en regelgeving, dan is het aan te raden om alle stappen van het 10 stappenplan te doorlopen. Gebruik deze stappen voor elk nieuw project of controleer of de bestaande communicatie al voldoet aan de privacy.
Om vooraf in te schatten hoe groot de verbetering is van de dienstverlening en hoeveel kostenbesparing het 10 stappenplan kan realiseren, heeft Mediascope de Privacy Impact Analyse ontwikkeld. Zo weet u in korte tijd of u voldoet aan de eisen zoals die gesteld worden. Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope omtrent de kostenbesparing en de maximalisering van de dienstverlening.
De algemene verordening gegevensbescherming bevat op Europese leest geschoeide regels voor de omgang met persoonsgegevens. Deze wet bestrijkt vrijwel alle sectoren in de maatschappij en geldt zowel voor de overheid als voor het bedrijfsleven. De AVG voorziet in een onafhankelijke toezichthouder, de Autoriteit Persoonsgegevens. De wet biedt daarnaast de mogelijkheid om een interne, binnen het bedrijf, toezichthouder aan te stellen: de functionaris voor de gegevensbescherming.
De functionaris voor de gegevensbescherming (FG) is iemand binnen de organisatie en houdt onafhankelijk toezicht op de toepassing en naleving van de AVG. Meldingen van verwerkingen van persoonsgegevens kunnen bij deze functionaris worden gedaan. Tevens is hij een deskundig aanspreekpunt voor de verantwoordelijke. Ook kan hij als contactpersoon optreden voor mensen van wie persoonsgegevens worden verwerkt: klanten, personeelsleden en burgers. Benoeming van een functionaris voor de gegevensbescherming leidt ertoe dat de Autoriteit Persoonsgegevens zich terughoudend opstelt ten aanzien van organisaties waarin deze FG naar behoren werkzaam is.
De FG moet worden aangemeld bij de Autoriteit Persoonsgegevens, die een lijst van organisaties met dergelijke functionarissen bijhoudt. Tenslotte bepaalt de AVG dat de FG een jaarverslag moet uitbrengen. Dit jaarverslag staat niet gedefinieerd en de Autoriteit Persoonsgegevens verwacht dat het opgestuurd wordt aan de Autoriteit Persoonsgegevens maar dit is niet verplicht. Vaak wordt het privacy deel in het jaarlijks verslag van het bedrijf behandeld.
De bevoegdheden van de FG staan in artikel 58 van de AVG. Hij houdt er toezicht op dat de verwerking van persoonsgegevens in de organisatie die hem heeft aangesteld, plaatsvindt in overeenstemming met de AVG. Indien er binnen de organisatie een gedragscode bestaat voor gegevensverwerkingen, dan strekt het toezicht van de functionaris zich ook uit tot de naleving van deze gedragscode.
Voordat een nieuw verwerkingsactiviteit, bijvoorbeeld ‘aanvraag verhuizen’, wordt gestart, wordt een verantwoordelijke toegewezen. Dit kan een redacteur (diensten) of een domeincoördinator (CMO) zijn. De, natuurlijke, persoon is verantwoordelijk voor alle 10 stappen van het plan en de verwerking hiervan voor de specifieke activiteit.
Deze verantwoordelijkheid wordt overigens vaak vanuit de ‘code of conduct’ neergelegd bij de onderneming. Zij is de natuurlijke persoon als het gaat om degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. Met andere woorden. De code of conduct beschrijft hoe de verwerker zijn werkzaamheden moet uitvoeren. Als de werknemer de werkzaamheden uitvoert zoals beschreven in de Code of Conduct, dan wordt de verantwoordelijkheid verplaatst/verschoven naar de werkgever, zij die de Code of Conduct heeft opgesteld.
De intern verantwoordelijke functionaris onderzoekt of de werkgever de enige verantwoordelijke is voor de verwerking van persoonsgegevens. Het kan zijn dat bijvoorbeeld een email-provider of een andere externe leverancier mede verantwoordelijk is voor de persoonsgegevens. Is dit laatste het geval, dan hebben de verschillende partijen iedere verantwoordelijkheid voor het eigen deel van verwerking. Een overeenkomst tussen de verschillende partijen wordt afgesloten om de bescherming van de persoonsgegevens te garanderen.
TIP
Ieder bedrijf heeft verschillende campagnes en acties met bijbehorende contactmomenten. Voor ieder contactmoment is het belangrijk om het doel te bepalen en de daarbij behorende persoonsgegevens. Dit is noodzakelijk, ook omdat vaak toestemming nodig is van de persoon in kwestie, zie ‘STAP 6’. Om toestemming te verkrijgen van de gebruiker, zal deze gebruiker natuurlijk moeten weten wat de reden is van het doel.
Nadat het doel van het verzamelen van gegevens is bepaald in stap 2, wordt gekeken naar de relevante data die hiervoor nodig is. Welke informatie heb je nodig, van een bewoner, om zowel technisch als organisatorisch een verhuizing door te voeren.
Er zijn 3 typen of persoonlijke gegevens:
Sensitieve persoonsgegevens en gegevens voor de bepaling van de identiteit worden ook wel bijzondere gegevens genoemd. Artikel 22 van de AVG bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag daarvoor.
Let op, de sensitieve persoonsgegevens is een vast set gegevens. Ze staan vermeld in het gegevensmodel om te zorgen dat de bijzondere (sensitieve) persoonsgegegevens specifiek gemeld worden
Het AVG kan op grond van artikel 22, onder e van AVG een ontheffing verlenen, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en ook passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.
TIP
De AVG beschrijft dat persoonsgegevens alleen verzameld mogen worden als deze ook absoluut nodig zijn. Overvloedige informatie is niet gewenst of toegestaan. Bovendien mag deze data alleen verzameld worden op het moment dat de data nodig is.
Nadat duidelijk is geworden welke persoonsgegevens nodig zijn voor de activiteit (stap 3) dient men te onderzoeken of deze data noodzakelijk is en niet overvloedig is aan het doel (stap 2).
TIP
Hoe minder persoonsgegevens verzameld worden per activiteit, hoe lager het risico is dat het conflicteert met de Privacy wet. Er zijn dan minder maatregelen die geïmplementeerd hoeven te worden om de data te beheren en/of te beveiligen.
Vraag jezelf altijd af:
Als alle vragen met ‘Ja’ beantwoord kunnen worden dan is de verzameling van persoonsgegevens nodig en gewenst. Zo niet, dan is het niet verantwoord om de persoonsgegevens te gaan verwerken.
Voorbeeld: Als een bedrijf iemand in dienst wil nemen is uiteindelijk een BSN nummer nodig voor fiscale regelingen. Als de overeenkomst gesloten is.
Er zijn 2 manieren:
De tweede optie is de enige goede optie.
Elk natuurlijke persoon of instelling (betrokkene) waarvan persoonsgegevens verwerkt of beheerd worden, moet hiervoor vrijwillig en expliciet toestemming hebben gegeven. Voordat gestart wordt met de verzameling en het beheer van persoonsgegevens dient de betrokkene toestemming te hebben gegeven. Het liefst getekend op papier. In geval van sensitieve data is een geschreven toestemming altijd gewenst. Er zijn enkele uitzonderingen op deze regel. Met name binnen de BRP gelden andere regels.
In het geval dat de werkgever persoonsgegevens verzamelt via internet dan is er geen mogelijkheid om een geschreven toestemming te verkrijgen. In dit geval kan je de betrokkene om expliciete toestemming vragen door middel van een opt-in methode. In geval van commerciële mededelingen wordt er een zogenaamde dubbele opt-in gevraagd. Een betrokkene moet expliciet 2 keer toestemming geven. Bijvoorbeeld door het ‘aanvinken’ van een optie gevolgd door een waarschuwing die je ook moet bevestigen. Een ander voorbeeld is een bevestigingsemail die verstuurd wordt naar de persoon. In deze email staat een linkje waar je op moet klikken zodat de tweede toestemming geactiveerd wordt.
Vanuit de BRP bestaan vrijstellingen voor het aanmelden van persoonsgegevens. Deze vallen onder het BRP regime. In hoofdstuk 3 staat informatie over de BRP. Dit geld met name over overheid en gemeenten.
TIP
Wanneer gegevens niet alleen verwerkt of beheerd worden bij de werkgever dan is er sprake van gegevensstromen met (vrije)derden (bijvoorbeeld: leveranciers). In geval van gegevensstromen naar derden is het noodzakelijk om een duidelijk maatregelenpakket te beschrijven.
Dit maatregelenpakket bevat minimaal de volgende informatie:
TIP
Wanneer je persoonsgegevens verzamelt voor een specifiek doel, dan is het niet toegestaan om deze gegevens te gebruiken voor een ander doel. Tenzij de personen hiervoor toestemming hebben gegegeven. Deze permissie moet minimaal op papier staan of dubbel bevestigd in geval van elektronische toestemming. Dit alles om te bewijzen dat je de specifieke toestemming hebt verkregen van de betreffende persoon.
Voorbeeld: Betrokkene XYZ heeft toestemming gegeven om een nieuwsbrief X te ontvangen. Dan niet toegestaan om persoon XYZ een nieuwsbrief Y te versturen met een ander doel.
Belangrijk: Mocht je persoonsgegevens gebruiken voor meerdere doelen, dan is het belangrijk om het doel van de actie voldoende ruim te omschrijven. Hoe breder de doelstelling hoe meer mogelijkhden er bestaan om de informatie te verwerken.
TIP
Persoonsgegevens die worden verwerkt en/of beheerd dienen adequaat beveiligd te worden tegen verlies, schade, diefstal of ongewenste toegang. Voor sensitieve persoonsgegevens dienen de beveiligingseisen nog hoger te zijn vanwege het grotere risico wat er mee gemoeid is.
Gebruik alleen servers en systemen die voldoende beveiligd kunnen worden. Bescherm het netwerk tegen binnendringers. Maak gebruik van virus en firewall software.
Wanneer het verwerken van persoonsgegevens extern uitgevoerd wordt, dan moet een overeenkomst gesloten worden tussen de werkgever en de derde partij ten aanzien van bescherming van persoonsgegevens.
TIP
Wanneer een bedrijfsactiviteit op z’n einde loopt dan is het nodig om de persoonsgegevens te archiveren. Bewaar gearchiveerde persoonsgegevens altijd op een veilige en beheersbare manier.
Wanneer data gearchiveerd wordt, wordt de retentie periode voor dat doel in acht genomen. Ook wanneer back-ups gemaakt worden van deze data, dan dienen de back-ups net zo veilig behandeld te worden als de oorspronkelijke data.
In het geval dat de werkgever gearchiveerde data opnieuw wilt gebruiken, dan dient hiervoor toestemming aanwezig te zijn van de betrokkene.
Vanuit het programma ‘Excellente Informatiebeveiliging’ uit 2008 wordt jaarlijks gecontroleerd of de technologie voldoet aan de Privacy wet- en regelgeving.
TIP
Wanneer de activiteit afgelopen is, of vanwege een expliciete vraag van een betrokkene, worden alle gegevens definitief verwijderd en vernietigd.
In het geval van gegevens uit het GBA gelden andere voorwaarden ten aanzien van het verwijderen van persoonsgegevens.
TIP
Voldoet uw communicatie aan alle Europese eisen als het gaat om bescherming van persoonsgegevens?
Met de Privacy Impact Analyse krijgt u direct inzicht.
De Privacy Impact Analyse biedt u als organisatie of bedrijf de mogelijkheid om in 10 stappen helder inzicht te krijgen in uw communicatiestromen. Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope waarmee u direct uit de voeten kan en mogelijke problemen op voorhand kunt voorkomen. Dankzij de Privacy Impact Analyse krijgt u binnen 4 weken antwoord op uw vragen.
Dit wordt gedaan in de vorm van het 10 stappen plan. In 10 stappen wordt uw bedrijf of gemeente doorgelicht en worden aanbevelingen gedaan over zowel de Privacy als de digitalisering van uw communicatie. Op basis van de resultaten van de Privacy Impact Analyse kan bepaald worden welke trajecten nodig zijn voor het vervolg, de daadwerkelijk implementatie van het 10 Stappenplan.
Binnen het Privacy Impact Analyse worden een aantal specifieke oplossingen voorgelegd. De oplossingen zijn zowel technologisch als theoretisch, gebaseerd op Privacy Enhanced Technologies, die ingezet kunnen worden om specifieke onderdelen van de communicatiestromen op te lossen.
Denk hierbij aan verklaringen voor de Privacy of gebruikersovereenkomsten, privacy audits, beveiligde e-mail of het digitaliseren van bedrijfsprocessen.
Het digitaliseren van de communicatiestromen levert een maximalisering op van de dienstverlening en brengt het een enorme kostenbesparing met zich mee. Het digitaliseren van de communicatiestromen levert een overall communicatiesysteem op waar e-mailfunctionaliteit gekoppeld wordt aan uw bedrijfsprocessen. Via dit e-mailplatform wordt alle digitale communicatie automatisch afgehandeld, of het nu salarisstroken, facturen, aanmaningen, medische dossiers of paspoort aanvragen zijn, maakt voor het systeem niets uit.
De implementatie van het 10 Stappenplan levert uiteindelijk een systeem op waar contactgegevens (persoonsgegevens) gekoppeld worden aan externe systemen. Voor iedere branche zijn er specifieke koppelingen. Een voorbeeld hiervan is een koppeling met het CRM of met het BRP voor gemeenten. Hierdoor kan men specifieke aanvragen van geregistreerde bewoners uitvoeren. Een ander voorbeeld is een koppeling met huidige basissysteem van het HIS, ZIS, of andere zorgaanbieders.
Wilt u weten hoeveel kosten er bespaard kunnen worden binnen uw gemeente of instelling? Laat ons u een presentatie geven, het kost u slechts een uurtje van uw tijd. Neem contact op of bel ons voor een afspraak.
De voordelen zijn:
☑︎ Maximaliseren kostenbesparing / Papierloos communiceren
☑︎ Privacy by design / voldoen aan de laatste eisen
☑︎Koppeling met het BRP of ZIS / verschillende API’s met overheidssystemen
☑︎Maximaliseren dienstverlening / door middel van campagnes proactief communiceren
☑︎Beveiligd e-mailplatform voor notificaties / communicatie
Bovendien kunt u rekenen op een concreet en gedegen advies van Mediascope omtrent de kostenbesparing en de maximalisering van de dienstverlening, oftewel uw kwaliteitsstempel. Wilt u meer weten over deze methode of wilt u weten wat de impact is voor uw bedrijf, laat het ons weten. We komen graag bij u langs.
Wilt u weten hoeveel kosten er bespaard kunnen worden binnen uw bedrijf, gemeente of instelling? Laat ons u een presentatie geven, het kost u slechts een uurtje van uw tijd. Bel ons voor een afspraak.A
Door bedrijfsprocessen te digitaliseren kunt u een enorme reductie van uw communicatiekosten realiseren. Bovendien kunt u door digitaliseren van uw processen pro actief reageren op vragen vanuit de markt.
U kunt rekenen op een concreet en gedegen advies van Mediascope omtrent de Privacy en de optimalisatie van uw communicatiestromen oftewel uw kwaliteitsstempel.
Op basis van de resultaten van de Privacy Impact Analyse kan bepaald worden welke trajecten nodig zijn voor het vervolg, het daadwerkelijk implementeren van de resultaten middels het 10 Stappenplan.
De implementatie van het 10 Stappenplan levert een communicatiesysteem op waar een e-mailplatform gekoppeld wordt aan uw bedrijfs-processen. Via dit e-mailplatform wordt de digitale communicatie automatisch afgehandeld.
De integratie van digitale communicatie binnen uw bedrijfsproces levert de hoogste kostenbesparing op.
Wilt u informatie krijgen over de privacy gevoeligheden van uw nieuwe campagne? Wij kunnen en willen u hierbij graag helpen. We kunnen helpen met het beantwoorden van een enkele vraag tot de ondersteuning bij uw technologische implementaties.