BCS en de AVG

dinsdag 27 februari 2018- BCS is een salarisverwerker die onder de werking van de AVG valt. Om die reden heeft zij al in een vroeg stadium een implementatietraject opgestart om tijdig aan alle voorwaarden van de AVG te voldoen.

Vanaf 25 mei 2018 zal de eerder in werking getreden AVG/GDPR worden gehandhaafd. Organisaties hebben dan 2 jaren de tijd gehad om aan de regels van de AVG te voldoen. De schrik zit er goed in nu de communicatie op gang is gekomen en de hoogte van de mogelijk op te leggen boete bekend is.

BCS
BCS is een salarisverwerker die onder de werking van de AVG valt. Om die reden heeft zij al in een vroeg stadium een implementatietraject opgestart om tijdig aan alle voorwaarden van de AVG te voldoen. Het implementatietraject is in grote lijnen onder te verdelen in de volgende onderwerpen: Bewustwording, Preventie, Organisatie, Techniek en Fysieke maatregelen.

Bewustwording
De zwakste schakel, als het gaat om veiligheid en preventie in een organisatie, zijn de medewerkers. Vandaar dat BCS voor zowel de periode tot 25 mei 2018 als daarna veel tijd investeert in het verhogen van de bewustwording bij medewerkers ten aanzien van de wijze van omgaan met de informatie die er wordt verwerkt. Dit wordt bereikt door workshops intern te organiseren en om een systeem op te zetten voor het periodiek testen van de bewustwording bij medewerkers.

Preventie
Preventie is een van de pijlers voor wat betreft het verwerken van persoonsgegevens. Behalve de voorgeschreven risicoanalyse wordt op verschillende manieren aandacht besteed aan preventie. Alles is erop gericht om te voorkomen dat onnodig en/of door onbevoegden toegang wordt verkregen tot gevoelige persoonsgegevens.

Organisatie
De wijze waarop afdelingen zijn georganiseerd, werkprocessen worden ingericht en bevoegdheden aan functionarissen worden toegekend zijn in de afgelopen periode grondig geëvalueerd en, waar nodig aangepast, om aan de normen van de AVG te voldoen. Daarbij wordt, waar het mogelijk is, aangesloten bij de beschrijving van werkprocessen zoals opgenomen in de procedure voor het kwaliteitssysteem ISAE3402. Kortom, de wijze waarop persoonsgegevens worden verwerkt dient geborgd te zijn naar de normen van de AVG en de ISAE.

BCS is conform de AVG verplicht om een functionaris aan te stellen voor gegevensbescherming. Deze functionaris heeft bevoegdheden om onafhankelijk onderzoek te doen naar de bescherming van persoonsgegevens en naleving van wet- en regelgeving. De functionaris voor de gegevensbescherming verzorgt ook eventuele contacten met de AP(Autoriteit Persoonsgegevens).

Daarnaast worden alle interne regelingen, bijvoorbeeld het privacyreglement, opnieuw beoordeeld en in samenwerking met de personeelsvertegenwoordiging aangepast.

Techniek
De aanwezige software waarmee de persoonsgegevens wordt verwerkt is grondig beoordeeld naar de normen van de AVG en is of wordt aangepast. De AVG hanteert als norm dataminimalisatie. Dat betekent dat bij de verwerking van persoonsgegevens de data wordt geminimaliseerd en dat het gebruik alleen binnen vastgelegde doelstellingen plaatsvindt.

Ter voorkoming van profiling op basis van digitale identifiers (uniek personeelsnummer of BSN) moet pseudonimisering en het versleutelen van gegevens als technieken moeten worden toegepast om de privacy te beschermen. Gegevens worden alleen bewaard binnen het kader van een specifiek doel, gegevens worden niet langer bewaard dan strikt noodzakelijk en gegevens worden niet onnodig verspreid.

Dit vereist een andere benaderingswijze (‘Privacy-by-Design’) bij de bouw van softwareapplicaties en is een continue uitdaging voor onze softwarespecialisten.

Fysieke maatregelen
Los van bovenstaande activiteiten is ook de werkomgeving beoordeeld naar de normen van de AVG. Om die reden is de toewijzing van werkruimten aan de afdelingen binnen BCS aangescherpt en hebben er fysieke en/of bouwkundige aanpassingen plaatsgevonden en zullen er nog enkele aanpassingen worden gerealiseerd. Er zijn nog enkele aanpassingen in de planning die voornamelijk betrekking hebben op de toegang tot werkruimten door derden. BCS streeft ernaar om de toegang van derden tot ruimten waar persoonsgegevens worden verwerkt en/of (tijdelijk) zijn opgeslagen onmogelijk te maken, en als het noodzakelijk is, dat het alleen onder begeleiding van personeel van BCS plaatsvindt.

Documenten/regelingen
Verschillende documenten en interne regelingen zijn reeds geactualiseerd en/of worden geactualiseerd. Daartoe behoort voor de klanten van BCS de ‘Verwerkersovereenkomst’. Deze is reeds geactualiseerd en door een extern advocatenkantoor getoetst.

Op korte termijn zal BCS aan alle klanten een Verwerkersovereenkomst toezenden, waarover zij binnenkort meer informatie ontvangen.