Privacyverantwoording bij LivitVerantwoordingsonderzoek (Declaration of Accountability, DoA)

In deze case nemen wij u mee ‘waarom en hoe Livit de bescherming van persoonsgegevens en privacy van haar klanten organiseert, bewaakt en verantwoordt’.

Over 2018 heeft Livit voor de eerste keer een verantwoordingsverslag gemaakt, de ‘Declaration of Accountability’ (DoA). Hiermee verantwoordt Livit zich naar het maatschappelijk verkeer zoals haar klanten en andere belanghebbenden over de bescherming van persoonsgegevens. Livit is één van de voorlopers in de branche op dit gebied en wil met dit artikel andere bedrijven stimuleren om hun klant ook centraal te zetten.

Wat was de uitdaging?

Al in 2016, dus ruim voordat de Europese Algemene verordening gegevensbescherming (AVG) was ingegaan, heeft Livit zich al laten toetsen door Duthler Associates. Dit bestond uit een privacy nulmeting dat tot doel had om het niveau van bescherming van persoonsgegevens te peilen.

Hieruit bleek dat er een goede start was gemaakt met het beschermen van persoonsgegevens, volgens de aangescherpte eisen van de AVG t.o.v. de eerdere Wet Bescherming Persoonsgegevens (Wbp), maar er nog werk gedaan moest worden. Duthler Associates drukt het niveau van beheersing uit in een volwassenheidsniveau op een schaal van 1 tot en met 5 en gaf aan dat Livit op dat moment in 2016 het niveau 1 had.

Wat was de aanpak?

Bij het rapport van de nulmeting had Duthler Associates een actieplan bijgesloten dat opgezet was in de vorm van een stappenplan. Hiermee konden concrete stappen gezet worden om de bescherming naar een hoger niveau te brengen. Livit stelde een functionaris voor gegevensbescherming (FG) aan. Deze FG heeft vervolgens het trainingsprogramma ‘privacy en informatieveiligheid’ doorlopen bij de Duthler Academy. Daarna werden de mouwen opgestroopt om aan de slag te gaan.

Afspraken maken

Livit is aangesloten bij MYOBI, een Trusted Third Party (TTP), dat ecosystemen ondersteunt. Het ecosysteem zorgt ervoor dat bedrijven en personen regie kunnen uitoefenen over hun gegevens. Binnen het ecosystemen sluiten bedrijven en instellingen regie- en verwerkersovereenkomsten met elkaar af.

Dit werd enerzijds veroorzaakt omdat veel organisaties zich nog in de verkenningsfase bevonden en intern nog afstemming moesten krijgen over de interpretatie van de AVG en het afsluiten van een verwerkersovereenkomst met een externe partij nog een stap te ver was. Anderzijds waren er vele organisaties die vanuit hun branchevereniging graag zelf met een eigen verwerkersovereenkomst wilde komen.

Nog moeilijker was (én is) het om de verwerkers verantwoording over hun naleving van de AVG te laten rapporteren. Omdat de precontractuele fase meetelt bij eventuele latere geschillen, staat Livit toch redelijk stevig bij mogelijke geschillen met verwerkers.

Het volwassenheidsniveau

Binnen het ecosysteem kunnen aangesloten bedrijven en instellingen hun volwassenheidsniveau ten aanzien van het beschermen van persoonsgegevens aangeven. MYOBI hanteert een schaal van 5 niveaus, waarbij 1 het laagste niveau (minimale beheersing) is en 5 het hoogst haalbare niveau (optimale beheersing).

Desgewenst kunnen de ondernemingen hun niveau publiceren op de eigen website en/of de website van MYOBI. Zo maken bedrijven en instellingen binnen een ecosysteem transparant waar ze staan met het beschermen van persoonsgegevens.

Dat was best wel spannend voor Livit, want je geeft aan dat je nog niet op het hoogst haalbare niveau van beheersbaarheid zit v.w.b. de regelgeving van de AVG. Gelukkig konden we daar overheen stappen, omdat onze kernwaarden ook gaan over eerlijkheid naar het maatschappelijk verkeer, met name naar de klant voor wie we zo graag ons best doen.

Uitvoeren actieplan

Zoals aangegeven is Livit aan het werk gegaan met het actieplan dat na de nulmeting was opgesteld. De eerste uitdaging lag in het inventariseren van alle verwerkingen. Dat ging vlot voor de verwerkingen die in applicaties werden geregistreerd. Echter, er bleken ook diverse verwerkingen bijgehouden te worden in Excelbestanden of in papieren dossiers. Van al deze verwerkingen is nagegaan of ze toegestaan zijn conform de AVG.

Vervolgens heeft Livit veel aandacht besteed aan de ‘awareness’ aangaande het omgaan met privacygevoelige gegevens. De aanname was hierbij dat aangescherpte regels pas echt gaan werken als elke werknemer ook begrijpt waarom deze toegepast worden. Hieruit vloeiden de vervolgstappen binnen Livit.

Wat was het resultaat?

Het maken van een DoA is een verrijkende ervaring voor ons en de organisatie geweest. Het wordt heel transparant welke beheersmaatregelen effectief zijn geweest en welke aanscherping behoeven. Het is lastig gebleken om aan te tonen dat je allen zaken formeel op orde hebt.

De AVG kent een formele documentatieplicht voor beleid en registers maar ook een plicht om te documenteren van allerlei gebeurtenissen zoals het vastleggen van verzoeken van betrokkenen, de incidenten en natuurlijk de datalekken. In de praktijk schiet deze formele vastlegging er wel eens bij in, terwijl er in dit soort situaties wel juist is gehandeld.

Livit is een verwerkingsverantwoordelijke die verwerkers inschakelt om de producten en diensten aan klanten te kunnen leveren. Zoals hierboven aangegeven is het in de praktijk lastig om verwerkersovereenkomsten aan te gaan met de verwerkers.

Een nog grotere uitdaging is het verkrijgen van een verantwoordingsverslag van de verwerkers. De AVG stelt namelijk dat de verwerkers zich moeten verantwoorden aan de verwerkingsverantwoordelijke. Helaas zijn de verwerkers hiertoe nog niet in staat gebleken. Hierdoor kon Livit deze informatie niet meenemen in haar DoA.

Heeft u vragen of behoefte aan een afspraak?

Heeft u vragen over deze casus? Neem gerust contact met ons op.