Frankenslag 137, 2582 HH The Hague
+31 (0) 70 392 22 09
info@duthler.nl

Privacy-verantwoording, Livit laat zien waarom en hoe!

In dit artikel nemen de schrijvers u mee waarom en hoe Livit de bescherming van persoonsgegevens en privacy van haar klanten organiseert, bewaakt en verantwoordt. Over 2018 heeft Livit voor de eerste keer een verantwoordingsverslag gemaakt, de Declaration of Accountability. Hiermee verantwoordt Livit zich naar het maatschappelijk verkeer zoals haar klanten en andere belanghebbenden over de bescherming van persoonsgegevens. Livit is één van de voorlopers in de branche op dit gebied en wil met dit artikel andere bedrijven stimuleren om hun klant ook centraal te zetten.

Inleiding

Livit is een bedrijf dat al sinds 1926 mobiliteit mogelijk maakt voor mensen voor wie dit niet vanzelfsprekend (meer) is. Dat doet Livit door het aanbieden van diverse producten in de productgroepen prothesen, orthesen en braces, orthopedische – en veiligheidsschoenen, steunzolen en – kousen. Livit kan deze producten aanbieden vanuit 400 vestigingen door heel Nederland. Om de klanten zo goed mogelijk te bedienen in het optimaliseren van bewegingsvrijheid wordt intensief samengewerkt met zorgprofessionals en instellingen.

Livit bedient circa 100.000 klanten en heeft met deze klanten vaak een jarenlange relatie. Livit hecht een grote waarde aan deze relatie. Dat is ook de reden dat Livit veel energie en tijd besteedt aan de bescherming van de persoonsgegevens en de privacy van haar klanten. In dit artikel willen we u graag meenemen hoe Livit dit organiseert, bewaakt en hierover verantwoording aflegt.

Nulmeting en actieplan

Al in 2016, dus ruim voordat de Algemene Verordening Gegevensbescherming (AVG) was ingegaan, heeft Livit zich al laten toetsen door Duthler Associates. Dit bestond uit een Privacy Nulmeting dat tot doel had om het niveau van bescherming van persoonsgegevens te peilen. Hieruit bleek dat er een goede start was gemaakt met het beschermen van persoonsgegevens, volgens de aangescherpte eisen van de AVG t.o.v. de eerdere Wet Bescherming Persoonsgegevens (Wbp), maar er nog veel werk gedaan moest worden. Duthler Associates drukt het niveau van beheersing uit in een volwassenheidsniveau op een schaal van 1 tot en met 7 en gaf aan dat Livit op dat moment in 2016 het niveau 1 had.

Bij het rapport van de Nulmeting had Duthler Associates een actieplan bijgesloten dat opgezet was in de vorm van een stappenplan. Hiermee konden concrete stappen gezet worden om de bescherming naar een hoger niveau te brengen. Livit stelde een functionaris voor gegevensbescherming (FG) aan. Deze FG heeft de Speed-up course doorlopen bij de Duthler Academy. Daarna werden de mouwen opgestroopt om aan de slag te gaan.

Onderdeel van ecosysteem

Livit is aangesloten bij MYOBI[1], een trusted third party, dat ecosystemen ondersteunt. In het ecosystemen sluiten bedrijven weerbare verwerkersovereenkomsten met elkaar af. Livit ondervond als ‘early adopter’ de weerstand bij de ketenpartners die verwerker zijn, om verwerkersovereenkomsten af te sluiten die voldoen aan de wettelijke vereisten en de afspraken binnen het ecosysteem. Dit werd enerzijds veroorzaakt omdat veel organisaties zich nog in de verkenningsfase bevonden en intern nog afstemming moesten krijgen over de interpretatie van de AVG en het afsluiten van een verwerkersovereenkomst met een externe partij nog een stap te ver was. Anderzijds waren er vele organisaties die vanuit hun branchevereniging graag zelf met een eigen verwerkersovereenkomst wilde komen. Nog moeilijker was (én is) het om de verwerkers verantwoording over hun naleving van de AVG te laten rapporteren. Omdat de precontractuele fase meetelt bij eventuele latere geschillen, staat Livit toch redelijk stevig bij mogelijke geschillen met verwerkers.

Binnen het ecosysteem kunnen aangesloten ondernemingen hun volwassenheidsniveau ten aanzien van het beschermen van persoonsgegevens aangeven. MYOBI hanteert een schaal van 7 niveaus, waarbij 1 het laagste niveau (minimale beheersing) is en 7 het hoogst haalbare niveau (optimale beheersing). Desgewenst kunnen de ondernemingen hun niveau publiceren op de eigen website en/of de website van MYOBI. Zo maken de ondernemingen binnen een ecosysteem transparant waar ze staan met het beschermen van persoonsgegevens. Dat was best wel spannend voor Livit, want je geeft aan dat je nog niet op het hoogst haalbare niveau van beheersbaarheid zit v.w.b. de regelgeving van de AVG. Gelukkig konden we daar overheen stappen, omdat onze kernwaarden ook gaan over eerlijkheid naar het maatschappelijk verkeer, met name naar de klant voor wie we zo graag ons best doen.

Uitvoeren actieplan

Zoals aangegeven is Livit aan het werk gegaan met het actieplan dat na de nulmeting was opgesteld. De eerste uitdaging lag in het inventariseren van alle verwerkingen. Dat ging vlot voor de verwerkingen die in applicaties werden geregistreerd. Echter, er bleken ook diverse verwerkingen bijgehouden te worden in Excelbestanden of in papieren dossiers. Van al deze verwerkingen is nagegaan of ze toegestaan zijn conform de AVG. Vervolgens heeft Livit veel aandacht besteed aan de ‘awareness’ aangaande het omgaan met privacygevoelige gegevens. De aanname was hierbij dat aangescherpte regels pas echt gaan werken als elke werknemer ook begrijpt waarom deze toegepast worden. Hieruit vloeiden de vervolgstappen binnen Livit.

Verantwoordingsverslag

Nieuw ten opzichte van de voorganger van de AVG, de Wet Bescherming Persoonsgegevens (Wbp) is dat de AVG een verantwoordingsonderzoek en een -plicht kent[2]. Dat kan heel ‘eng’ opgevat worden door alleen het strikt noodzakelijke intern vast te leggen. Echter, lees je de toespraken van Butarelli (European Data Protection Supervisor) dan spreekt hij van de ‘notion of accountability’[3]: Het is een inherente verantwoordelijkheid van een onderneming om zich te verantwoorden over de bescherming van persoonsgegevens. Duthler Associates noemt een dergelijk verantwoordingsverslag een ‘Declaration of Accountability’, afgekort een DoA[4]. Duthler motiveert ondernemingen om deze verantwoording op te stellen en in verkorte vorm op te nemen in het bestuursverslag.

Livit heeft over 2018 voor het eerst een verantwoordingsverslag opgesteld in nauwe samenwerking met Duthler Associates. De interne controle (het verantwoordingsonderzoek) is daarbij ook uitgevoerd door Duthler Associates.

Opbouw verantwoordingsverslag

In onderstaand schema is de opbouw naar een verantwoordingsverslag schematisch opgenomen. Lees het van onder naar boven:

De DoA bestaat uit diverse onderdelen waaruit blijkt welke persoonsgegevens Livit verwerkt en hoe deze gegevens beschermd worden. Ook zijn drie verklaringen opgenomen. De eerste is van het bestuur waarin het behaalde volwassenheidsniveau wordt toegelicht en de ambities voor de komende jaren wordt uiteengezet. De tweede verklaring is van de FG. De FG heeft onder andere als wettelijke taak het toezien op de naleving van de AVG en heeft in deze verklaring de mogelijkheid om hiervan verslag te doen. De derde verklaring is van de interne controleur die vaststelt of het door de leiding voorgestelde niveau van bescherming van persoonsgegevens aantoonbaar ondersteund kan worden.

Leerpunten

Het maken van een DoA is een verrijkende ervaring voor ons en de organisatie geweest. Het wordt heel transparant welke beheersmaatregelen effectief zijn geweest en welke aanscherping behoeven. Het is lastig gebleken om aan te tonen dat je allen zaken formeel op orde hebt. De AVG kent een formele documentatieplicht voor beleid en registers maar ook een plicht om te documenteren van allerlei gebeurtenissen zoals het vastleggen van verzoeken van betrokkenen, de incidenten en natuurlijk de datalekken.  In de praktijk schiet deze formele vastlegging er wel eens bij in, terwijl er in dit soort situaties wel juist is gehandeld.

Livit is een verwerkingsverantwoordelijke die verwerkers inschakelt om de producten en diensten aan klanten te kunnen leveren. Zoals hierboven aangegeven is het in de praktijk lastig om verwerkersovereenkomsten aan te gaan met de verwerkers. Een nog grotere uitdaging is het verkrijgen van een verantwoordingsverslag van de verwerkers. De AVG stelt namelijk dat de verwerkers zich moeten verantwoorden aan de verwerkingsverantwoordelijke[5]. Helaas zijn de verwerkers hiertoe nog niet in staat gebleken. Hierdoor kon Livit deze informatie niet meenemen in haar DoA.

Livit wil over 2019 wederom een verantwoordingsverslag opstellen. Wij hopen dat onze verwerkers dan ook zover zijn dat zij hiervan onderdeel kunnen uitmaken.

Auteurs:

  • Edwin van Tankeren is werkzaam bij Livit als manager Risk & Business Information en Functionaris voor Gegevensbescherming. Hiervoor heeft hij functies vervuld als internal auditor en risk controller. 
  • Caroline Willemse RFG RE AA is werkzaam bij Duthler Associates en adviseert bedrijven en instellingen op het gebied van privacy en ICT.

Meer informatie over de DoA

Lees hier meer over de DoA, ook wel verantwoordingsonderzoek. Natuurlijk kunt u ons ook bereiken via +31 0(70) 392 22 09.


[1] https://www.myobi.eu/

[2] AVG artikel 5 lid 2

[3] https://edps.europa.eu/sites/edp/files/publication/16-05-26_spring_conference_gb_en.pdf

[4] Studenten aan de DPO Programme werken tijdens de 2-jarige leergang toe naar het opstellen van een DoA.

[5] AVG artikel 28 lid 3h