Invloed privacywet (AVG) op alarmeringen

privacywet avg alarmeringen

Sinds 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) in werking getreden, het zal u niet ontgaan zijn. De AVG, ofwel in het Engels GDPR (General Data Protection Regulation) heeft partijen verplicht kritisch te kijken naar het beheer van de persoonsgegevens in zowel de eigen applicaties als de applicaties van leveranciers.

In aanloop op de AVG hebben klanten ons de vraag gesteld hoe wij omgaan met de gegevens die worden opgeslagen in MultiBel. Hiervoor hebben we met onze klanten verwerkersovereenkomsten gesloten of herzien. Bij potentiële klanten zijn er vaak gesprekken over welke gegevens inzichtelijk zijn en voor wie.

Veel eisen van de AVG zijn niet nieuw. De AVG heeft de oude Nederlandse Wet Bescherming Persoonsgegevens (WBP) vervangen. Met de AVG moeten organisaties nog duidelijker maken hoe ze data verzamelen, waarvoor ze het gebruiken en hoelang het wordt bewaard.

Waar moet u opletten m.b.t. uw alarmeringssysteem?

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als dat andere land voldoende bescherming biedt.

Verwerkersovereenkomst

In de eerste plaats moet u altijd zorgen voor een geldige verwerkersovereenkomst.

Landen binnen de Europese Economische Ruimte (EER)

Alle landen binnen de Europese economische zone voldoen aan de gestelde maatregelen en daarmee kunnen dus zonder meer gegevens worden uitgewisseld. Dit houdt in dat voor alle 28 EU-landen, Noorwegen, Liechtenstein en IJsland geen beperkingen gelden op basis van de AVG.

Landen buiten de Europese Economische Ruimte (EER)

U moet extra zorgvuldig zijn bij situaties waarbij persoonsgegevens naar landen gaan buiten de Europese Economische Ruimte. Persoonsgegevens mogen daar in principe niet naar toe, tenzij in de wet (AVG) staat van wel. Gegevens mogen alleen in die landen worden opgeslagen als de Europese Commissie heeft besloten dat er in dat land een passend beschermingsniveau is gewaarborgd. Dit zijn momenteel de volgende landen:

  • Andorra
  • Argentinië
  • Delen van Canada
  • Faeröer Eilanden
  • Guernsey
  • Israël
  • Isle of Man
  • Jersey
  • Nieuw-Zeeland
  • Uruguay
  • Verenigde Staten, mits het betrokken Amerikaanse bedrijf aangesloten is bij de Privacy Shield
  • Zwitserland

De bovenstaande lijst wordt normaliter iedere vier jaar bijgewerkt, tenzij er aanleiding is om dit vaker te doen. De meest actuele lijst vindt u hier.

Het is op dit moment nog niet duidelijk of het Verenigd Koninkrijk na de Brexit nog binnen de EER gerekend wordt, of dat er een aparte erkenning moet plaatsvinden.

M.b.t. de Verenigde Staten wordt gesproken over de Privacy Shield. Dit is een regeling (uit juni 2016) tussen de VS en de EU, waarbij aangesloten bedrijven verklaren de Europese regels na te zullen leven en de VS verklaart niet zomaar naar Amerikaans recht toegang te verlangen tot de gegevens. Juridisch gezien bestaat er echter wel het risico dat onder het mom van de “nationale veiligheid” toch toegang tot de data verleend moet worden.

Er bestaan hierdoor gerede zorgen over de Privacy Shield en daarom doen bedrijven liever zaken met een Europese dochter van een Amerikaans bedrijf, zoals de bijvoorbeeld de dochters van Amazon of Microsoft in Ierland en België. Let wel, de Amerikaanse autoriteiten willen de moedermaatschappijen toch verplichten de gegevens van deze dochterbedrijven op te halen. Of dit mag wordt binnenkort besloten door de US Supreme Court. Mocht de mogelijkheid tot deze verplichting bestaan, zou dit de constructie om zaken te doen met een Europese dochter de nek om draaien. Belangrijk, is een Amerikaans bedrijf niet aangesloten bij de Privacy Shield, mogen die bedrijven geen persoonsgegevens van uw organisatie opslaan.

De zaak wordt nog ingewikkelder aangezien in juli 2018 het Europese Parlement een resolutie heeft aangenomen waarin de Europese Commissie wordt opgeroepen om de Privacy Shield met de VS op te schorten. In de resolutie staat dat het Parlement van mening is, dat de Privacy Shield-overeenkomst niet voldoet aan de databeschermingswetten van de Europese Unie.  De opschorting moet plaatsvinden als de Amerikaanse regering de uitvoering van de overeenkomst inzake gegevensbescherming tegen 1 september niet verbeterd heeft.

Welke onderwerpen zijn specifiek van belang voor een verwerkersovereenkomst met een alarmeringsdienst?

Wij geven u een aantal onderwerpen die naar voren komen in de gemiddelde verwerkersovereenkomst.

Welke gegevens worden opgeslagen?

Het zorgvuldig omgaan met gegevens heeft in de eerste plaats te maken met het enkel opslaan van de minimaal noodzakelijke gegevens, “Privacy by Default”. Als een alarmeringsdienst data nodig heeft als geslacht, leeftijd etc. kunt u zichzelf de vraag stellen waar deze gegevens voor nodig zijn.

Waar wordt de data opgeslagen?

Bestaan er overeenkomsten tussen de alarmeringsdienst en de Cloud-opslagdienst? De Cloud is fantastisch, het helpt enorm in het flexibel kunnen werken en veilig houden van onze data. Het is wel belangrijk om precies te weten in welk land de gegevens worden opgeslagen en verwerkt.

Wie ontwikkelt en beheert de software?

Bestaan er overeenkomsten tussen de alarmeringsdienst en de leverancier?

Wie heeft inzicht in de data?

Hier spelen 2 belangrijke vragen:

  • Wie heeft binnen de organisatie van de klant inzicht in de persoonsgegevens en wie kan de gegevens wijzigen?
  • Welke medewerkers binnen de organisatie van de alarmeringsdienst hebben inzicht in de gegevens van de klant en kunnen deze ook data wijzigen? Hierbij is het van belang dat, de handelingen die verricht worden met de data zich beperken tot die handelingen die noodzakelijk zijn voor het uitvoeren van de dienst.

Wordt gebruik gemaakt van een locatie-registratie?

Indien gebruik wordt gemaakt van een alarmeringsdienst met een automatische aanwezigheidsregistratie is de locatiebepaling van belang. Bij het bepalen van de locatie is een belangrijke vraag in hoeverre de gealarmeerde “gevolgd” wordt. Kan de organisatie ook de medewerkers in de privésfeer volgen, buiten de fysieke locatie van de organisatie?

Wie verstuurt de alarmberichten?

Alle telefonische berichten (zowel spraakberichten als SMS) gaan via lokale providers. Dit betekent dat we in Nederland contracten hebben met bijvoorbeeld KPN, Vodafone, etc. Als er berichten worden verzonden naar partijen als WhatsApp, Facebook, etc., dan is uw data dus per definitie in de VS.

Hoe zijn de gegevens beveiligd?

De beveiliging van de gegevens is essentieel. Er zijn in de 2017 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP),  dit is 70% meer dan het jaar ervoor. Dit heeft waarschijnlijk deels te maken met de bekendheid en de verplichting om een datalek te melden, maar het toont ook dat de beveiliging niet altijd op orde is.

Hoe wordt omgegaan met persoonsgegevens na beëindiging van het contract?

Na het einde van de dienstverlening dienen de persoonsgegevens te worden gewist of op verzoek teruggegeven aan de organisatie.

Conclusie:

Het is belangrijk waar en door wie uw data wordt verwerkt, opgeslagen en ingezien. Hierbij moet u letten hoe met de data omgaat zowel tijdens als na het contract. Voor doorgifte van gegevens naar een land binnen de Europese Economische Ruimte (EER) gelden andere regels dan voor doorgifte naar een land buiten de EER.  Als je aan de AVG wilt voldoen, maakt het opslaan van gegevens buiten de EER lastig.

oorspronkelijke tekst: 13-07-2018

update: 30-07-2018