In dit artikel nemen de schrijvers u mee waarom en hoe Livit de bescherming van persoonsgegevens en privacy van haar klanten organiseert, bewaakt en verantwoordt. Over 2018 heeft Livit voor de eerste keer een verantwoordingsverslag gemaakt, de Declaration of Accountability. Hiermee verantwoordt Livit zich naar het maatschappelijk verkeer zoals haar klanten en andere belanghebbenden over de bescherming van persoonsgegevens. Livit is één van de voorlopers in de branche op dit gebied en wil met dit artikel andere bedrijven stimuleren om hun klant ook centraal te zetten.
Wie is Livit?
Livit is een bedrijf dat al sinds 1926 mobiliteit mogelijk maakt voor mensen voor wie dit niet vanzelfsprekend (meer) is. Dat doet Livit door het aanbieden van diverse producten in de productgroepen prothesen, orthesen en braces, orthopedische – en veiligheidsschoenen, steunzolen en – kousen. Livit kan deze producten aanbieden vanuit 400 vestigingen door heel Nederland. Om de klanten zo goed mogelijk te bedienen in het optimaliseren van bewegingsvrijheid wordt intensief samengewerkt met zorgprofessionals en instellingen.
Livit bedient circa 100.000 klanten en heeft met deze klanten vaak een jarenlange relatie. Livit hecht een grote waarde aan deze relatie. Dat is ook de reden dat Livit veel energie en tijd besteedt aan de bescherming van de persoonsgegevens en de privacy van haar klanten. In dit artikel willen we u graag meenemen hoe Livit dit organiseert, bewaakt en hierover verantwoording aflegt.
Wat was de aanpak?
Al in 2016, dus ruim voordat de Europese Algemene Verordening Gegevensbescherming (AVG) was ingegaan, heeft Livit zich al laten toetsen door Duthler Associates. Dit bestond uit een privacy nulmeting dat tot doel had om het niveau van bescherming van persoonsgegevens te peilen.
Hieruit bleek dat er een goede start was gemaakt met het beschermen van persoonsgegevens, volgens de aangescherpte eisen van de AVG t.o.v. de eerdere Wet Bescherming Persoonsgegevens (Wbp), maar er nog werk gedaan moest worden. Duthler Associates drukt het niveau van beheersing uit in een volwassenheidsniveau op een schaal van 1 tot en met 7 en gaf aan dat Livit op dat moment in 2016 het niveau 1 had.
Wat was het actieplan?
Bij het rapport van de nulmeting had Duthler Associates een actieplan bijgesloten dat opgezet was in de vorm van een stappenplan. Hiermee konden concrete stappen gezet worden om de bescherming naar een hoger niveau te brengen. Livit stelde een functionaris voor gegevensbescherming (FG) aan. Deze FG heeft vervolgens de driedaagse training beschermen van persoonsgegevens doorlopen bij de Duthler Academy. Daarna werden de mouwen opgestroopt om aan de slag te gaan.
Het informatie ecosysteem, hoe en wat?
Livit is aangesloten bij MYOBI, een Trusted Third Party (TTP), dat ecosystemen ondersteunt. Het ecosysteem zorgt ervoor dat bedrijven en personen regie kunnen uitoefenen over hun gegevens. Binnen het ecosystemen sluiten bedrijven en instellingen regie- en verwerkersovereenkomsten met elkaar af.
Livit ondervond als ‘early adopter’ de weerstand bij de ketenpartners die verwerker zijn, om verwerkersovereenkomsten af te sluiten die voldoen aan de wettelijke vereisten en de afspraken binnen het ecosysteem.
De verkenningsfase in de markt
Dit werd enerzijds veroorzaakt omdat veel organisaties zich nog in de verkenningsfase bevonden en intern nog afstemming moesten krijgen over de interpretatie van de AVG en het afsluiten van een verwerkersovereenkomst met een externe partij nog een stap te ver was. Anderzijds waren er vele organisaties die vanuit hun branchevereniging graag zelf met een eigen verwerkersovereenkomst wilde komen.
Nog moeilijker was (én is) het om de verwerkers verantwoording over hun naleving van de AVG te laten rapporteren. Omdat de precontractuele fase meetelt bij eventuele latere geschillen, staat Livit toch redelijk stevig bij mogelijke geschillen met verwerkers.
Volwassenheidsniveau uiten binnen een informatie ecosysteem
Binnen het ecosysteem kunnen aangesloten bedrijven en instellingen hun volwassenheidsniveau ten aanzien van het beschermen van persoonsgegevens aangeven. MYOBI hanteert een schaal van 7 niveaus, waarbij 1 het laagste niveau (minimale beheersing) is en 7 het hoogst haalbare niveau (optimale beheersing).
Desgewenst kunnen de ondernemingen hun niveau publiceren op de eigen website en/of de website van MYOBI. Zo maken bedrijven en instellingen binnen een ecosysteem transparant waar ze staan met het beschermen van persoonsgegevens.
Dat was best wel spannend voor Livit, want je geeft aan dat je nog niet op het hoogst haalbare niveau van beheersbaarheid zit v.w.b. de regelgeving van de AVG. Gelukkig konden we daar overheen stappen, omdat onze kernwaarden ook gaan over eerlijkheid naar het maatschappelijk verkeer, met name naar de klant voor wie we zo graag ons best doen.
Uitvoeren actieplan
Zoals aangegeven is Livit aan het werk gegaan met het actieplan dat na de nulmeting was opgesteld. De eerste uitdaging lag in het inventariseren van alle verwerkingen. Dat ging vlot voor de verwerkingen die in applicaties werden geregistreerd. Echter, er bleken ook diverse verwerkingen bijgehouden te worden in Excelbestanden of in papieren dossiers. Van al deze verwerkingen is nagegaan of ze toegestaan zijn conform de AVG.
Vervolgens heeft Livit veel aandacht besteed aan de ‘awareness’ aangaande het omgaan met privacygevoelige gegevens. De aanname was hierbij dat aangescherpte regels pas echt gaan werken als elke werknemer ook begrijpt waarom deze toegepast worden. Hieruit vloeiden de vervolgstappen binnen Livit.
Verantwoordingsverslag, wat is het?
Nieuw ten opzichte van de voorganger van de AVG, de Wet Bescherming Persoonsgegevens (Wbp) is dat de AVG een verantwoordingsonderzoek en een -plicht kent2. Dat kan ‘eng’ opgevat worden door alleen het strikt noodzakelijke intern vast te leggen. Echter, lees je de toespraken van Butarelli (European Data Protection Supervisor) dan sprak hij van de ‘notion of accountability’3: Het is een inherente verantwoordelijkheid van een onderneming om zich te verantwoorden over de bescherming van persoonsgegevens.
Duthler Associates noemt een dergelijk verantwoordingsverslag een ‘Declaration of Accountability’, afgekort een DoA4. Duthler Associates motiveert ondernemingen om deze verantwoording op te stellen en in verkorte vorm op te nemen in het bestuursverslag.
Livit heeft over 2018 voor het eerst een verantwoordingsverslag opgesteld in nauwe samenwerking met Duthler Associates. De interne controle is daarbij ook uitgevoerd door Duthler Associates.
Hoe ziet de opbouw van het verantwoordingsverslag eruit?
De DoA bestaat uit diverse onderdelen waaruit blijkt welke persoonsgegevens Livit verwerkt en hoe deze gegevens beschermd worden. Ook zijn drie verklaringen opgenomen:
- De eerste is van het bestuur waarin het behaalde volwassenheidsniveau wordt toegelicht en de ambities voor de komende jaren wordt uiteengezet.
- De tweede verklaring is van de FG. De FG heeft onder andere als wettelijke taak het toezien op de naleving van de AVG en heeft in deze verklaring de mogelijkheid om hiervan verslag te doen.
- De derde verklaring is van de interne controleur die vaststelt of het door de leiding voorgestelde niveau van bescherming van persoonsgegevens aantoonbaar ondersteund kan worden.
Wat waren de leerpunten?
Het maken van een DoA is een verrijkende ervaring voor ons en de organisatie geweest. Het wordt heel transparant welke beheersmaatregelen effectief zijn geweest en welke aanscherping behoeven. Het is lastig gebleken om aan te tonen dat je allen zaken formeel op orde hebt.
De AVG kent een formele documentatieplicht voor beleid en registers maar ook een plicht om te documenteren van allerlei gebeurtenissen zoals het vastleggen van verzoeken van betrokkenen, de incidenten en natuurlijk de datalekken. In de praktijk schiet deze formele vastlegging er wel eens bij in, terwijl er in dit soort situaties wel juist is gehandeld.
Livit is een verwerkingsverantwoordelijke die verwerkers inschakelt om de producten en diensten aan klanten te kunnen leveren. Zoals hierboven aangegeven is het in de praktijk lastig om verwerkersovereenkomsten aan te gaan met de verwerkers.
Een nog grotere uitdaging is het verkrijgen van een verantwoordingsverslag van de verwerkers. De AVG stelt namelijk dat de verwerkers zich moeten verantwoorden aan de verwerkingsverantwoordelijke [5]. Helaas zijn de verwerkers hiertoe nog niet in staat gebleken. Hierdoor kon Livit deze informatie niet meenemen in haar DoA.
Meer informatie
Heeft u vragen of opmerkingen over deze aanpak? Neem gerust contact met ons op via +31 (70) 392 22 09 of info@duthler.nl.
1 AVG artikel 5 lid 2
2 https://edps.europa.eu/sites/edp/files/publication/16-05-26_spring_conference_gb_en.pdf
3 Studenten aan de Opleiding FG werken tijdens de 2-jarige leergang toe naar het opstellen van een Declaration of Accountability (DoA).
4 AVG artikel 28 lid 3h
