'Nieuwe AVG-wetgeving wordt uitdaging voor maakbedrijven'

In mei van dit jaar wordt de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Vanaf 25 mei geldt in de hele EU dezelfde privacy-wetgeving. De AVG heeft grote gevolgen voor bedrijven, ook in de maakindustrie.

Fabrikanten die nu nog geen privacy impact assessment hebben uitgevoerd, lopen uit de pas en zijn in “big trouble”, zo stelt Guy Jeurissen van de Belgische Computable. Hij zet in een onlangs verschenen artikel uiteen welke uitdagingen de AVG-wetgevingen gaat brengen voor maakbedrijven. ‘Alleen een globale, op risico’s gebaseerde benadering die de levenscyclus van data centraal stelt, kan deze ondernemers nog uit de brand helpen.’

Alle bedrijven die persoonsgegevens verzamelen en gebruiken, moeten aan de AVG voldoen. De nieuwe Europese privacywetgeving is momenteel veel in het nieuws maar toch benadruk Jeurissen dat fabrieksdirecteuren verder moeten kijken dan alleen marketing in sales. Dit zijn traditioneel afdelingen waar veel met klantdata wordt gedaan, maar de wetgeving raakt ook andere disciplines van bedrijven en stakeholders. ‘Zo verwerken medewerkers op de personeelsafdeling dagelijks persoonsgegevens van medewerkers en sollicitanten’, aldus de auteur. ‘Denk aan telefoonnummers (privé en zakelijk), e-mailadressen en geheime codes, zoals toegangscodes van panden en wachtwoorden voor computers. Daarnaast zijn er de salarisgegevens, paspoorten, bankrekeningnummers, rijksregisternummers, enzovoorts. En binnen beveiligde fabrieksterreinen worden wellicht biometrische gegevens (zoals vingerafdrukken) en camerabeelden gemaakt en bewaard.

De financiële afdeling op haar beurt verzamelt persoonsgegevens van toeleveranciers, (onder)aannemers en kredietverschaffers. Sommige fabrieken starten eigen retail-activiteiten op, waarmee ze klanten rechtstreeks, business-to-consumer bedienen. De marketingafdeling beschikt dan over een crm-systeem of database met klantgegevens. Het industrial internet of Ttings (IIoT) zorgt eveneens voor nieuwe uitdagingen. Alles met een stekker kan op het internet worden aangesloten. Dus ook fabrieksmachines. Het borgen van 100 procent cybersecurity wordt hierdoor bijna onmogelijk. Fabrikanten kunnen natuurlijk wel zorgen dat de basis op orde is.’ 

Beginselen

In de AVG staat een aantal basisbeginselen beschreven:

• ‘Bbetrokkenen’ dienen toestemming te geven voor verwerking van hun persoonsgegevens door middel van een duidelijke actieve handeling. Bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens.
• Persoonsgegevens moeten, kort samengevat, worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
• Fabrikanten mogen persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzamelen. ‘Minimale gegevensverwerking’ is hierbij de norm.
• De persoonsgegevens moeten juist zijn, fabrikanten zijn verplicht deze zo nodig te actualiseren. Ondernemingen zijn verplicht onjuiste persoonsgegevens desgewenst te wissen of te rectificeren.
• Fabrikanten dienen de persoonsgegevens te bewaren in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
• Fabrikanten moeten de persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier verwerken, dat een passende beveiliging ervan gewaarborgd is.

De Autoriteit Persoonsgegevens maakt op haar site een aparte melding van ‘privacy by design’. Dit houdt in dat de fabrikant er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar het betekent ook dat hij niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat hij de gegevens niet langer bewaart dan nodig. ‘Privacy by default’ houdt in dat de fabrikant technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat hij, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat hij wil bereiken. Bijvoorbeeld door een app die hij aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is. Een op AVG-principes gebaseerde vertrouwensrelatie kan de reputatie van de onderneming alleen maar ten goede komen.

Datalekken

Jeurissen haalt in het artikel ook enkele voorbeelden aan van datalekken in zowel Nederland en België. Zo kwamen er in ons land gegevens van tweeduizend medewerkers van het in medische technologie gespecialiseerde Philips op een openbare website (Pastebin.com). Het ging hierbij om salarisgegevens, jaaroverzichten, namen, adressen en burgerservicenummers.

België kende een groot gegevenslek bij de NMBS, de Belgische NS. Door een menselijke fout verschenen persoonsgegevens van honderdduizenden spoorwegklanten op internet. Het behoort sindsdien tot een van de grootste datalekken ooit wereldwijd. Het laat volgens Jeurissen voor een deel zien dat er nog voldoende leermomenten zullen komen. 

Incrementele investering

De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens en de Belgische Privacywet. Dat betekent ook dat bedrijven die vandaag al voldoen aan de huidige wetgeving, deze benadering als geldig uitgangspunt kunnen nemen voor de implementatie van de AVG. 

‘Indianenverhalen dat de AVG fabrikanten zal opzadelen met een kostenpost van tienduizenden euro’s kunnen naar het rijk der fabelen worden verwezen. Fabrikanten die de privacy van hun werknemers, leveranciers en andere zakenpartners van meet af aan serieus hebben genomen, hebben waarschijnlijk elk jaar al geïnvesteerd in informatiebeveiliging. Bedrijven die dit hebben verzuimd, hebben wel een probleem. Bedrijven die te goeder trouw zijn, worstelen vooral met het stellen van de juiste prioriteiten. De AVG is toch een incrementele investering en het algemene budget voor informatiebeveiliging is zelden toereikend. Bovendien vragen enkele noviteiten in de AVG om aandacht en budget.’

Noviteiten

Zo zal een deel van de bedrijven verplicht een data protection officer (dpo) aan moeten stellen, die toeziet op de gegevensverwerkingen binnen de onderneming. Ook voor bedrijven die niet onder deze verplichting vallen, kan het verstandig zijn om een bepaallde functionaris aan te stellen. Deze persoon kan een belangrijke rol spelen in het databeschermingsbeleid van de organisatie.

Eveneens nieuw is de extraterritoriale werking van de AVG. Zo is de verordening ook van toepassing op internationale leveranciers die als ‘verwerkingsverantwoordelijke’ of ‘verwerker’ goederen of diensten aanbieden aan EU-burgers en hierbij persoonsgegevens verwerken. Dit geldt zelfs voor gratis producten of diensten. Ook internationale leveranciers die het gedrag van EU-burgers monitoren vallen onder de verordening, voor zover dit gedrag in de Europese Unie plaatsvindt. Ondertussen telt de ‘countdown timer’ op de website van de Privacycommissie genadeloos op de seconde af naar 25 mei 2018.

Stappenplan

Verschillende instanties proberen bedrijven er momenteel op te wijzen dat voorzorgsmaatregelen getroffen moeten worden om straks niet in de problemen te komen. Dit doen ze bijvoorbeeld door het publiceren van online tools en stappenplannen. Zo zette de Autoriteit Peroonsgevens een 10-stappenplan in elkaar. Het gaat om de volgende stappen:

• Bewustwording
• Rechten van betrokkenen
• Overzicht verwerkingen
• Data protection impact assessment (DPIA)
• Privacy by design & privacy by default
• Functionaris voor de gegevensbescherming
• Meldplicht datalekken
• Verwerkersovereenkomsten
• Leidende toezichthouder
• Toestemming

Een uitgewerkt stappenplan is te vinden op de website van AP, evenals een handige infographic.

Balans

Het vinden van de juiste balans tussen het gebruik van persoonsgegevens en de bescherming van privacy binnen onze digitale samenleving is een van de grootste worstelingen van dit moment. Een stappenplan kan hierbij nuttige diensten bewijzen, maar fabrikanten die de AVG louter zien als een afvinklijstje (‘checkbox approach’) slaan de plank mis. Door governance, risicomanagement en compliance nauwkeurig af te stemmen met relevante technologie, zullen de AVG-doelen waarschijnlijk eerder worden gehaald. AVG compliance is geen sluitstuk. Het beschermen van persoonsgegevens en het voorkomen van datalekken is een ‘ongoing process’, gericht op hoge datakwaliteit en een bestendige vertrouwensrelatie met alle stakeholders.

Metaalbedrijven goed voorbereid

De Koninklijke Metaalunie heeft eerder laten weten dat veel MKB-metaalbedrijven goed op weg zijn om te voldoen aan de privacyregels uit de AVG. Dit blijkt uit de enorme belangstelling die er is voor de hulpmiddelen die Koninklijke Metaalunie haar leden biedt om ‘AVG-proof’ te worden. Om bedrijven hierbij te helpen, heeft Koninklijke Metaalunie een aantal hulpmiddelen ontwikkeld, waaronder checklists. De tweede checklist is gisteren verschenen. 

‘Eind vorig jaar verscheen de eerste checklist die vooral in het teken van de klant- en leveranciersadministratie stond.. De vandaag verschenen tweede checklist gaat over de personeels- en loonadministratie. “Er staat concreet in omschreven wat leden moeten doen als het gaat om het verzamelen en gebruiken van persoonsgegevens die onderdeel uitmaken van deze administraties’, zegt Yasmin Baake, Sociaaljuridisch adviseur Metaalunie. ‘Door een gemiddeld mkb-bedrijf als uitgangspunt te nemen, is het mogelijk vrij concrete adviezen te geven. Dat is het grote voordeel van de checklists van Metaalunie ten opzichte van andere hulpmiddelen die op de markt zijn.’ 

De volgende en laatste checklist verschijnt in maart 2018 en gaat over overige verwerkingen.

Door: Kelly Bakker

Bron: Computable.be/MT/Koninklijke Metaalunie