Maatregelen AVG wet Tevreden.nl


Op 25 mei 2018 is de AVG van kracht. Dit is de Algemene Verordening Gegevensbescherming en gaat kortweg over het veilig houden, gebruik en regels rondom persoonsgegevens. Deze verordening geldt voor iedereen in heel Europa. Het gaat dus in het algemeen om persoonsgegevens, het maakt niet uit waar of hoe deze zijn opgeslagen. Of je nou een papieren archief hebt of in de cloud werkt, het geldt allemaal. Alleen de kern is ‘persoonsgegevens’.

Wat doet Tevreden

Tevreden voert voor haar relaties het klant-, partner- of medewerkersonderzoek uit. En daarom verwerken we voor deze relaties ook persoonsgegevens. Helemaal prima, maar dat is nou precies waar de AVG over gaat; het verwerken van persoonsgegevens.
 
Daarom willen we een kijkje achter de schermen geven en uitleggen wat Tevreden doet, welke maatregelen we nemen en hoe we continu er voor zorgen dat alle gegevens die Tevreden verzamelt in lijn zijn met wet- en regelgeving en veilig.
 
Iedere dag zijn we enerzijds bezig met het verzamelen van inzichten van klantervaringen, medwerkerbevlogenheid of partnerervaringen, anderzijds zijn we ook iedere dag bezig met het veilig houden van data. We willen allemaal top inzichten en niet dat er data op straat ligt.
 
Om alles veilig te houden hanteert Tevreden allerlei maatregelen die samen te vatten zijn onder de onderwerpen:
 
  • Mensen
  • Systemen
  • Afspraken 

Mensen

In het veilig houden van data zijn over het algemeen mensen de zwakste schakel. Iedereen kent de uitdrukking “het blijft mensenwerk”. Om het risico dat er iets door mensen fout gaat te reduceren hebben we intern een aantal afspraken gemaakt:
 
  1. Geheimhouding; iedereen is gehouden aan geheimhouding op straffe van een niet malse maatregel.
  2. Geen data opslaan anders dan op de beveiligde omgeving; dus monitoren we structureel het lokaal opslaan van data op laptops. USB-stick zijn helemaal verboden.
  3. Internet gebruik; prima, maar geen “gekke” sites bezoeken.
  4. Audits; periodiek een audit per werknemer op werkplek (clean desk), laptop, telefoon,  e-mail, etc. Dat hebben we ook zo met elkaar afgesproken om elkaar scherp te houden.
  5. Trainingen; in ons interne opleidingscyclus zit bij ieder onderwerp altijd de vraag en discussie over hoe compliant is dit en wat houdt dit in voor veiligheid.
  6. Beleid; houd je aan het informatiebeveilings-, privacy- en wachtwoordbeleid.
Het is dus een mix van alle medewerkers te trainen, bewust te maken van veiligheid, controle en straf. Gelukkig is iedereen zich intrinsiek bewust van de mogelijkheden, risico’s en gevolgen. Als werkgever helpen we iedereen hier ook bij, door bijvoorbeeld het up to date houden van anti-virus bescherming, licenties op orde te hebben, alle middelen ter beschikking te stellen voor het uitvoeren van werkzaamheden.
 

Systemen

Systemen vormen een belangrijk onderdeel tijdens de verwerking van persoonsgegevens. Denk alleen al aan het invoeren of uploaden van e-mailadressen voor het verzenden van uitnodigende e-mails.
Alle systemen die Tevreden.nl gebruikt zijn maximaal beveiligd, worden continu gemonitord en periodiek huren we een ethische hacker in die we vragen om onze beveiliging te kraken. Zo zitten we heel kort op de bal en kunnen we de veiligheid van data zo optimaal mogelijk houden.
 
Door de AVG wordt er ook strikter gekeken naar het nut en noodzaak van het opslaan en behouden van persoonsgegevens. Standaard geldt dat zo lang het noodzakelijk is voor het doeleinde, persoonsgegevens mogen worden opgeslagen en gebruikt.
 
Bij Tevreden hanteren we een 3 classificaties aan persoonsgegevens: Persoonskenmerken, Profielgegevens en Bijzondere gegevens.
 
  • Persoonskenmerken zijn alle direct herleidbare persoonsgegevens, denk aan achternaam, e-mailadres, id-nummers, etc.
  • Profielgegevens zijn alle gegevens welke niet direct herleidbaar zijn en gebruikt worden voor onderzoeksdoeleinden. Denk hierbij aan automerk, postcode, geslacht, opleiding, etc.
  • Bijzondere gegevens zijn alle gegevens die te maken hebben met geloofsovertuiging, medische gegevens, bankgegevens, etc.
Door het classificeren kunnen we ook stellen dat alleen de Profielgegevens noodzakelijk zijn voor vrijwel alle onderzoeken. Bij hoge uitzondering, in hele specifieke gevallen worden ook andere gegevens gebruikt voor onderzoeksdoeleinden.

Standaard anonimiseren we bijzondere gegevens direct en persoonsgegevens zodra deze niet meer nodig zijn voor het uitvoeren van het onderzoek. Klinkt wellicht een beetje vaag, maar voor het versturen van een nette uitnodigende e-mail hebben we het e-mailadres en achternaam nodig. Dus daar gebruiken we deze gegevens dan alleen voor.
 

Afspraken

Een van de belangrijkste afspraken die we met elkaar moeten maken is dat we een Verwerkersovereenkomst afsluiten. In de Verwerkersovereenkomst staat welke juridische positie we ten opzichte van elkaar hebben (Verantwoordelijke of Verwerker), dat er persoonsgegevens worden verwerkt, op welke manier dat gaat, dat er maatregelen zijn genomen ter bescherming van deze gegevens en hoe te handelen als het toch mis gaat.
 
De AVG schrijft voor dat de Verantwoordelijke de Verwerkersovereenkomst opstelt. En dat houdt in dat de opdrachtgevers van Tevreden.nl deze moeten opstellen. Niet iedereen is zich hiervan bewust, noch bedreven in. Daarom maken we het voor iedereen eenvoudig en spreken met elkaar af:
 
Tenzij er reeds een Verwerkersovereenkomst is, geldt de Verwerkersovereenkomst die Tevreden.nl heeft opgesteld ten behoeve van haar opdrachtgevers.
 
 

Vragen

We hopen je met een kijkje in onze keuken op de hoogte te hebben gebracht van alle maatregelen die Tevreden.nl neemt om altijd te handelen in lijn met de wet en persoonsgegevens veilig en correct te verwerken. We zijn dan ook trots om lid te zijn MOA en het Fairdata keurmerk te mogen voeren.
 
Voor alle vragen kan je deelnemen aan onze community. Het platform waarop we kennis delen met jullie en de discussie aangaan over allerlei onderwerpen. Doe ook mee!