Been bijtrekken op AVG door tijdelijke ondersteuning?

Lumen Group biedt een breed netwerk van professionals die interim werk kunnen verrichten vanaf het eerste moment. Onze interim professionals bieden doeltreffende, snelle en krachtige oplossingen en waarborgen de continuïteit van de werkzaamheden. Naast dat we onze klanten een breed netwerk aan interim professionals bieden, proberen wij voor onze professionals ook de juiste plek te vinden, zodat zij kunnen doen waar ze goed in zijn. In deze blog vertelt Anita van Ekris wat zij doet als interim professional bij Lumen Group.

‘Ik ben Anita van Ekris en ik werk als interim Privacy Officer bij een VO-school in het midden van het land. Nadat Lumen Group bij de betreffende school een AVG-steekproef had gedaan, werd duidelijk dat zij wat achterstand hadden in te halen om aan de minimale vereisten van de AVG te voldoen; niveau 3 van de privacy volwassenheidsladder van Lumen Group.

Met de steekproefrapportage ben ik nu samen met de ICT-manager aan de slag om met wat reparatie-acties te kunnen voldoen aan niveau 3. Dit betreft het opstellen, of aanvullen met wettelijke vereisten, van 6 procedures, het aanvullen van de autorisatiematrix en het opstellen van een bewustwordings- en trainingsplan.

Ik heb veel gesprekken gevoerd met verschillende functiegroepen en daar komen ook heel wat adviezen uit. Denk aan een sleutelbeleid of een clean desk policy. Compliant zijn aan de AVG gaat niet alleen over de verplichte procedures of registers hebben. Het is juist belangrijk als een persoon met kennis van de AVG veel gesprekken voert om de bewustwording te vergroten en vraagbaak te zijn. En de school merkt het ook. Zo liet de directeur weten: “We merken dat papieren van bureaus aan het verdwijnen zijn, dus het AVG-spook waart al rond.” Dat maakt mij dan weer trots. Lekker met humor en praktische oplossingen, de werkomgeving AVG-proof maken.’

Als je meer wilt weten over onze interim-diensten, kijk dan op deze pagina of neem eens contact met ons op. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. 

Even voorstellen: Florence

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Florence Frequin. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Als Privacy Consultant bij Lumen Group krijg ik veel verantwoordelijkheid en ben ik eigenaar van mijn eigen klantenportefeuille. Zo ondersteun ik klanten op het gebied van privacy- en gegevensbescherming door vragen van onze klanten over de toepassing hiervan te beantwoorden en bied ik ondersteuning bij de afhandeling van datalekken en beveiligingsincidenten. Ook kan ik in de rol van een onafhankelijke FG verrichten voor klanten in meerdere sectoren zoals onderwijs, gemeenten, zorg, financiële instellingen en private bedrijven.  

Daarnaast geef en neem ik deel aan trainingen en seminars voor en bij klanten. Ik begeleid projecten en implementeer privacy wet- en regelgeving bij onze klanten. Ik mede-ontwikkel onze producten en diensten en draag bij aan het behalen van de doelstellingen van Lumen Group.

Hoe zien jouw werkdagen eruit?

Voor mij en mijn collega’s is geen enkele dag hetzelfde! Ik begin de dag met een dagstart waar ik samen met mijn collega’s de doelen voor de dag bespreek. Als aanspreekpunt beantwoord ik gedurende de dag de vragen op het gebied van privacy- en gegevensbescherming van verschillende klanten.

Bij klanten breng ik de bescherming van persoonsgegevens en informatiebeveiliging aan het licht door bijvoorbeeld het uitvoeren van risicoanalyses en mogelijke bevindingen met klanten te bespreken en dit vast te leggen middels rapportages, zodat zij hiermee risico’s beter kunnen beheersen en op de toekomst voorbereid zijn.

Verder ben ik veel in contact met onze klanten, beantwoord ik vragen en adviseer ik op een praktische wijze. Dit doe ik zowel op afstand als op locatie van onze klanten verspreid over heel Nederland.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

De huidige ontwikkelingen op het gebied van big data, informatietechnologie, de komst van een nieuwe ePrivacy-verordening en tegelijkertijd een toename van het aantal cyberaanvallen brengen de vraag om adequate zorg hiervoor met zich mee. Net als Lumen Group draag ik graag mijn steentje bij om de digitale samenleving eerlijker en veiliger te maken.

Wat zijn jouw 3 opvallendste eigenschappen?

Teamplayer met doorzettingsvermogen en oog voor detail.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

“Never let a good crisis go to waste.”

Is het raadzaam om een cyberverzekering af te sluiten?

Voor een optimale uitvoering van werkzaamheden zijn organisaties voortdurend bezig met het automatiseren en digitaliseren van processen en strategieën. Naast de grote voordelen die dit met zich meebrengt, gaat het ook gepaard met (nieuwe) risico’s. Cyberaanvallen, hacks, en ransomware zijn tegenwoordig voor veel organisaties niet meer onbekend. Het afsluiten van een cyberverzekering om de risico’s te dekken, lijkt daarom een logische stap. Cyber begon voor veel verzekeraars als een rendabele markt. Tegenwoordig blijkt juist dat cyberpolissen heel verlieslatend kunnen zijn, zeker in het geval van cyberschade bij grote bedrijven.[1] Dit is een reden voor cyberverzekeraars om extra kritisch te zijn bij het aannemen van nieuwe klanten. Zeker omdat cyberrisico’s zich de afgelopen jaren steeds vaker voordoen, met als gevolg een stijging van het aantal claims. In dat licht krijgt Lumen Group dan ook vaak de vraag of het nuttig is een dergelijke verzekering af te sluiten. Op deze vraag is geen eenduidig antwoord te geven, aangezien dat per situatie zal verschillen. Het is daarom voor organisaties van belang om een doordachte afweging te maken. Om hierbij te helpen, hebben wij onze visie met betrekking tot de cyberverzekering uiteengezet. Zo kunt u op basis hiervan zelf een afweging maken of een cyberverzekering voor uw organisatie wenselijk is. Wij raden wel aan om hiervoor ook advies in te winnen bij een assurantieadviseur.

Cyberverzekering

Met een goede cyberverzekering kunnen bepaalde kosten worden gedekt op het moment dat uw organisatie te maken heeft met een cyberincident. Schade anders dan financiële schade, zoals reputatieschade na een datalek, wordt niet gedekt door een cyberverzekering. Als onderdeel van een cyberverzekering ondersteunt de cyberverzekeraar meestal bij het crisismanagement na een aanval. Daarnaast ondersteunen de meeste cyberverzekeraars bij risicopreventie om het risico op cyberincidenten voor uw organisatie te verkleinen. Naast de omzet of het budget van een organisatie is dit een belangrijke factor in het bepalen van de hoogte van de verzekeringspremie. Sterker nog, dit is vaak een basisvoorwaarde om in aanmerking te komen voor de verzekeringsdekking. Pas bij een goede risico-inventarisatie is er zicht op de risico’s en kunt u een kosten-batenanalyse maken voor uw organisatie. In het licht hiervan kunt u bepalen welke beheersmaatregelen voor uw organisatie nodig zijn. Het raadplegen van een assurantieadviseur is daarnaast aan te raden.

Twee zijden van dezelfde medaille

Uiteraard kan het voor bepaalde organisaties nuttig zijn om een cyberverzekering af te sluiten. Hierbij is er echter ook een andere kant van de medaille. Het uitgangspunt is dat organisaties sowieso verplicht zijn om aan wettelijke eisen zoals de AVG te voldoen. Dit is niet ‘af te kopen’ waarbij een cyberverzekering als ‘aflaat’ dient. Het is goed om hierbij aan te geven dat een cyberverzekering vaak alleen financiële schade dekt. Met cyberverzekering worden dus bijvoorbeeld niet (altijd) reputatierisico’s beheerst. Een cyberverzekering moet dus eigenlijk worden gezien als een sluitstuk voor het restrisico: een soort vangnet waarbij organisaties zich verzekeren tegen schade die zij niet willen of kunnen dragen.

Ook eisen cyberverzekeraars, zoals hierboven ook al aangegeven, doorgaans dat organisaties de risico’s goed in kaart hebben gebracht en beheersmaatregelen hebben getroffen als voorwaarde voor het afsluiten van een verzekering. Bovendien willen ze dat een organisatie zijn noodprocedures op orde heeft voor het geval er toch een cyberincident plaatsvindt, anders komt een organisatie niet in aanmerking voor een verzekering of zullen minder kosten worden gedekt. Daarbij komt dat er niet altijd consensus bestaat omtrent de omvang van de dekking van de risico’s. De schadedekking is dus verlaagd en daarbij zijn de premies verhoogd. Vanwege deze hogere premies en extra eisen die worden gesteld, kan niet elke organisatie zomaar een cyberverzekering afsluiten of zich herverzekeren.

Risico-inventarisatie en risicobeheersing

Het uitvoeren van een risicoanalyse is een logische eerste stap. In de meeste gevallen worden organisaties zich pas bewust van cyberrisco’s op het moment dat ze gehackt zijn of getroffen worden door een datalek. Dit is eigenlijk te laat, aangezien voorkomen beter is dan genezen. Belangrijk is dus om terug te gaan naar de kern en dat betekent een gedegen risico-aanpak. Een goede risico-inventarisatie en risicobeheersing is dan ook de eerste stap. Enerzijds om zodoende op adequate wijze risico’s te beheersen. Anderzijds omdat een verzekeraar hier doorgaans om zal vragen alvorens ze hun premie opgeven. Bovendien krijgt u op deze wijze inzicht in welke gegevens voor uw organisatie van belang zijn en welke processen hieraan zijn gekoppeld. Het is van groot belang dat deze gegevens op de juiste manier beveiligd zijn, om de risico’s van een cyberaanval te voorkomen of in te perken. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van risico-inventarisatie.

Beheersmaatregelen

Nadat de risico’s in kaart zijn gebracht, is het belangrijk om te bepalen hoe dergelijke risico’s beheerst kunnen worden. Hiervoor nemen organisaties in lijn met hun risicohouding (risk appetite) beheersmaatregelen. Afhankelijk van de risicohouding kunnen organisaties beheersmaatregelen nemen op het gebied van preventie, detectie, repressie, correctie, acceptatie of het overdragen van risico’s. Het afsluiten van een cyberverzekering valt bijvoorbeeld onder het overdragen van risico’s. Andere voorbeelden van beheersmaatregelen zijn het tijdig of automatisch uitvoeren van beveiligingsupdates of het toepassen van twee-factor-authenticatie (2FA). Ook kunt u netwerken segmenteren en de toegang van personen tot systemen en persoonsgegevens verscherpen. Daarnaast kunt u controleren welke apparaten en diensten bereikbaar zijn vanaf het internet en deze beschermen met een goede firewall en virusscanners. Het versleutelen van gegevensdragers kan bijvoorbeeld met een online passwordmanager. Een andere maatregel is het regelmatig maken van back-ups en deze testen. Bovendien dient u ervoor te zorgen dat elke applicatie en elk systeem voldoende loginformatie genereert. Tenslotte is het van belang dat het beleid omtrent cyberveiligheid in orde is en dat werknemers zich tevens bewust zijn van dit beleid. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van het nemen van beheersmaatregelen.

Conclusie

Een cyberverzekering kan een goede beheersmaatregel zijn. Het is aan organisaties zelf om te besluiten of zij een cyberzekering een wenselijke beheersmaatregelen achten. Een eerste noodzakelijke stap is dus dat organisatie hun risico’s goed in kaart brengen. Vervolgens moeten organisaties in lijn met hun risicohouding besluiten welke beheersmaatregelen zij willen nemen, om deze daarna ook daadwerkelijk te nemen. Hiertoe kan het afsluiten van een cyberverzekering horen. In deze afweging is het belangrijk om in het achterhoofd te houden dat een cyberverzekering geen ‘aflaat’ is. Organisaties moeten namelijk altijd aan de AVG voldoen en de nodige beheersmaatregelen nemen. Daarbij komt dat de premies voor cyberverzekeringen vaak hoog zijn. U kunt zich daarom afvragen of het betalen van de premie voor uw organisatie opweegt tegen het risico dat met de verzekering wordt gedekt. 

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.


[1] S. van Gils, ‘Cyberverzekeraars zien aantal claims sterk stijgen en verhogen premie’, fd.nl. https://fd.nl/tech-en-innovatie/1412525/cyberverzekeraars-zien-aantal-claims-sterk-stijgen-en-verhogen-premie#:~:text=Verzekeraars%20zien%20het%20aantal%20claims,en%20cyberveiligheidsbedrijf%20Kivu%20werd%20opgesteld.

Even voorstellen: Kristy

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Kristy Wong. Wij stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Bij Lumen Group ben ik werkzaam als Management Assistant. Dit is naar mijn mening best een breed begrip, maar de taken zijn dan ook erg uiteenlopend. Kort gezegd, ik ondersteun waar nodig.

Hoe zien jouw werkdagen er ongeveer uit?

Mijn collega’s en ik beginnen de dag met de dagstart. Tijdens dit half uur bespreken we belangrijke punten en de dagplanning per collega. Dit is fijn, want dan ben je meteen op de hoogte van elkaar. Lekker overzichtelijk! Vervolgens houd ik mij bezig met verschillende taken om het management van Lumen Group bij te staan, zodat alles in goede banen wordt geleid. Eigenlijk is geen dag voor mij hetzelfde.

Omdat ik nog studeer (master Internet, IE en Privacy aan de Vrije Universiteit Amsterdam), volg ik zo nu en dan online college op kantoor of plan ik een studie-uurtje in op het einde van de werkdag.


Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Na het afronden van de bachelor Rechtsgeleerdheid aan de Universiteit van Utrecht, besloot ik dat het tijd werd om het werken in de horeca een klein beetje los te laten en iets meer praktijkervaring op te doen in het bedrijfsleven. Gelukkig is Lumen Group erg flexibel en kan ik deze twee banen prima combineren.

Ik heb gekozen voor Lumen Group, omdat het een bedrijf is wat groeit, maar waar ook ruimte is voor persoonlijke groei. De vele contactmomenten binnen ons team zorgen ervoor dat kennis wordt gedeeld en iedereen zijn persoonlijke bijdrage kan leveren. Ik heb het idee dat ik elke dag een stukje wijzer word en dat is precies waar ik naar op zoek was. Bovendien is het hier op kantoor heel gezellig en is iedereen heel toegankelijk! Een goede (werk)sfeer is voor mij een groot plus punt.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik zit vol energie! Daarnaast ben ik oprecht en werk ik met oog voor detail.

Heb je misschien nog een leuke boodschap voor de lezers van deze blog?

You’re never too important to be nice to people!   

Nieuwe Standard Contractual Clauses (SCC’s)

Op 16 juli 2020 heeft het Europese Hof van Justitie (HvJ EU) in de Schrems II-zaak het zogenoemde ‘Privacy Shield’ nietig verklaard. Dit heeft tot gevolg dat het Privacy Shield niet langer gebruikt mag worden voor de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Organisaties die persoonsgegevens doorgeven aan organisaties gevestigd in de VS moeten als gevolg hiervan aanvullende waarborgen treffen, indien zij BCR of een modelcontract gebruiken. Wat betekent dit voor uw organisatie? En heeft de Schrems II-uitspraak ook gevolg voor u indien u geen persoonsgegevens wisselt met de VS, maar wel met andere niet-Europese landen?

Achtergrond

Het doorgeven van persoonsgegevens buiten de Europees Economische Ruimte (EER) mag volgens de Algemene Verordening Gegevensbescherming (AVG) alleen indien het ontvangende land voldoende bescherming biedt. Binnen de EER is het beschermingsniveau gelijk. Er gelden daarom bijzondere regels voor doorgifte van persoonsgegevens aan organisaties en instanties gevestigd in derde landen naar zogenoemde ‘derde landen’. Deze doorgifte is dan ook alleen toegestaan indien het betreffende land een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens worden doorgegeven op basis van een adequaatheidsbesluit, binding corporate rules (BCR), passende waarborgen of specifieke uitzonderingen.

  • Adequaatheidsbesluit

De Europese Commissie (EC) kan vaststellen dat het beschermingsniveau van een derde land vergelijkbaar is met dat van de landen waar de AVG van toepassing is via een adequaatheidsbesluit. Voor doorgifte van persoonsgegevens naar dat derde land hoeven organisaties dan geen aanvullende waarborgen te treffen. Het Privacy Shield tussen de EU en de VS was een voorbeeld van een adequaatheidsbesluit.

  • BCR

Binding Corporate Rules (BCR) zijn ‘global privacy policies’ die gelden binnen een wereldwijd opererende organisatie voor doorgifte van persoonsgegevens naar derde landen, mits deze landen een gelijkwaardig beschermingsniveau kennen.

  • Passende waarborgen

Indien geen sprake is van een adequaatheidsbeslissing is een andere passende waarborg noodzakelijk voor doorgifte van persoonsgegevens naar een derde land. Dit kan met ‘Standard Contractual Clauses’ (SCC’s). Een SCC is een modelcontract dat door de EC is vastgesteld om persoonsgegevens door te geven naar derde landen. Een SCC kan gebruikt worden mits het derde land een gelijkwaardig beschermingsniveau kent.

Naast SCC’s kunnen een goedgekeurde gedragscode of een certificeringsmechanisme als waarborg gelden voor een passend beschermingsniveau. Hiervoor stelt de AVG nog wel aanvullende voorwaarden.

  • Specifieke uitzonderingen

Tenslotte is doorgifte naar derde landen mogelijk op basis van specifieke uitzonderingen, zoals uitdrukkelijke toestemming van betrokkenen of gewichtige redenen van algemeen belang. Op de website van de Autoriteit Persoonsgegevens (AP) leest u meer over specifieke uitzonderingen.

Schrems II

Voorafgaand aan Schrems II kon doorgifte van persoonsgegevens naar de VS op een veilige manier via het Privacy Shield. Met het Schrems II-arrest is het Privacy Shield ongeldig verklaard met als gevolg dat veel Europese organisaties geen rechtsgrond meer hebben voor het doorgeven van persoonsgegevens aan Amerikaanse organisaties.

Het HvJ EU constateerde dat de Amerikaanse wetgeving verschillende tekortkomingen kent die een belemmering vormen voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het beschermingsniveau van de VS niet gelijkwaardig is aan de bescherming die de AVG biedt, waardoor de VS niet langer als adequaat land wordt aangemerkt. Organisaties binnen de EER zullen doorgifte van persoonsgegevens naar de VS daarom met andere passende waarborgen, zoals bijvoorbeeld SCC’s, moeten realiseren.

Daarnaast heeft het HvJ EU in Schrems II bepaald dat partijen bij het sluiten van een SCC de garantie bieden dat de wetgeving in het derde land er niet voor kan zorgen dat de gegevensimporteur (de verwerkingsverantwoordelijke) niet kan voldoen aan de SCC. De reden hiervoor is dat de huidige door de EC vastgestelde SCC’s uit 2001, 2004 en 2010 afkomstig zijn, dus ruim voordat de AVG (2018) van kracht werd. De huidige SCC’s blijven voorlopig nog wel geldig voor doorgifte van persoonsgegevens vanuit de EEC naar een derde land, maar partijen moeten nagaan: i) of het recht van het derde land bescherming biedt in overeenstemming met de AVG, ii) welke richtlijnen gelden, iii) of er aanvullende maatregelen getroffen zijn en iv) welke omstandigheden toepasselijk zijn op de doorgifte op grond van die SCC’s. Indien de gegevensimporteur verwacht toch niet aan de SCC te kunnen voldoen, dient  hij de gegevensexporteur hierover te informeren. Het gevolg hiervan is dat exporterende organisaties zich zullen moeten inspannen voor een adequate bescherming van de gegevens en uiteindelijk de bestaande SCC’s zullen moeten vervangen.

Nieuwe SCC’s

Gezien Schrems II zijn de huidige SCC’s dan ook niet meer geschikt. Op 12 november 2020 kondigde de EC publicatie van nieuwe SCC’s aan om de doorgifte van persoonsgegevens tussen landen in de EER en derde landen te vergemakkelijken. De nieuwe SCC’s bestaan dan ook uit vier modules. Partijen kunnen op deze wijze het document verfijnen door alleen de modules op te nemen die van toepassing zijn op hun situatie. Zo zijn de nieuwe SCC’s toepasbaar in meerdere situaties.

De geformuleerde modules sluiten tevens nauw aan bij de AVG, in die zin dat een aparte verwerkersovereenkomst niet meer nodig is. Ook moet verdere doorgifte, naar bijvoorbeeld een adequaat land, ook voldoen aan de AVG. Daarbij moeten beide partijen dus kunnen aantonen dat ze voldoen aan de SCC’s. De bepalingen kunnen ook geïntegreerd worden in bredere (commerciële) overeenkomsten.

De nieuwe SCC’s kunnen worden gebruikt in de volgende situaties:

  • EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • EU verwerker aan niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerker naar EU-verwerker

Tenslotte zal per doorgifte een risicoanalyse gedaan moeten worden. Alleen het sluiten van een SCC is niet meer voldoende. Een zogenoemde Data Transfer Impact Assessment (DTIA) bevat een omschrijving van de diensten die de organisatie in een derde land aanbiedt. Verder moet uit een DTIA blijken welke passende waarborgen worden getroffen en welke maatregelen zijn genomen om persoonsgegevens te beschermen, naast de SCC’s.

Wat betekent dit voor uw organisatie?

SCC’s hoeven alleen gesloten worden voor verwerkingen waarop de AVG niet van toepassing is. Om huidige SCC’s te kunnen blijven gebruiken, is het voor organisaties van belang te inventariseren welke grensoverschrijdende overdracht van persoonsgegevens onder hun verantwoordelijkheid valt. Vervolgens dienen ze een risicoanalyse uit te voeren van het gegevensbeschermingsniveau van het ontvangende land. Uiterlijk 27 december 2022 moeten bestaande SCC’s die als doorgifte-instrument worden gebruikt, worden omgezet naar een van de varianten van de  nieuwe SCC’s.

Lumen Group kan ondersteunen bij het inventariseren en implementeren van SCC’s. Ook bij het uitvoeren van een DTIA kan Lumen Group ondersteunen. Neem vrijblijvend contact op via fg@lumengroup.nl of 030 889 65 75 om de mogelijkheden te bespreken.


Even voorstellen: Ruben

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Ruben de Korver. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Mijn rol binnen Lumen Group is het ondersteunen van klanten met privacy gerelateerde uitdagingen. Dit doe ik in de hoedanigheid van Privacy Consultant. Ik geef advies en beantwoord vragen over het in de praktijk toepassen van de Algemene Verordening Gegevensbescherming (AVG).

Hoe zien jouw werkdagen eruit?

Mijn werkdagen zijn gevuld met verschillende onderdelen. Het kan zijn dat ik een overleg met een klant heb, een steekproef uitvoer of een DPIA analyseer. In de uitvoering van deze werkzaamheden probeer ik de juridische kaders altijd te vertalen naar praktisch toepasbare adviezen. Het geeft mij namelijk veel energie om bedrijven advies te geven waar klanten concreet iets mee kunnen. Verder heb ik veel contact met mijn collega’s. Wij werken veel samen en houden elkaar op de hoogte van wat er speelt bij onze klanten.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Lumen Group sprak mij aan vanwege het hechte team wat zich volledig focust op privacy. Lumen Group een niché consultancy kantoor, wat betekent dat iedereen die hier werkt erg gepassioneerd is over het onderwerp. Iedereen is gedreven om privacy meer onder de aandacht te brengen. Daarnaast is er veel persoonlijke begeleiding, wat mij zal helpen in mijn ontwikkeling.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik ben erg energiek, consistent en benaderbaar.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Ik wil de lezers van deze blog graag wijzen op een quote van de thrillerschrijver Lee Child “Hope for the best, plan for the worst”. In het kader van privacy en informatiebeveiliging is deze quote vrij treffend. Hoop op het beste, maar wees voorbereid op data-lekken, hacks en andere digitale ongein!

Wijziging Telecommunicatiewet: nieuwe regels voor telemarketing

Per 1 juli 2021 is de Telecommunicatiewet gewijzigd. De wetswijziging heeft betrekking op regels voor telemarketing. Tot 1 juli 2021 gold een “opt-out-systeem” voor het bellen van particulieren voor marketingdoeleinden. Dit betekent dat abonnees die geen rechtspersoon zijn ongevraagd telefonisch konden worden benaderd door verkopers, tenzij ze stonden ingeschreven in het bel-me-niet-register. Vanaf 1 juli 2021 moeten telemarketeers vooraf toestemming hebben van de particulieren die ze benaderen via de telefoon. In deze blog leggen wij uit wat deze wetswijziging betekent voor uw organisatie.

Opt-in-systeem

Met de wetswijziging is een algemeen “opt-in-systeem” ingevoerd voor directmarketing via de telefoon. Het opt-out-systeem is daarmee vervallen en het bel-me-niet-register is opgeheven. Onder het oude regime konden particulieren in beginsel via de telefoon benaderd worden door marketeers, tenzij ze zich hadden ingeschreven in het bel-me-niet-register. Het nieuw ingevoerde opt-in-systeem houdt in dat particulieren vooraf expliciet toestemming moeten geven voor ongevraagde commerciële en ideële communicatie en communicatie voor goede doelen (artikel 11.7 Telecommunicatiewet). Zonder dergelijke toestemming is ongevraagde telemarketing niet toegestaan. Onder “particulieren” wordt verstaan: consumenten, eenmanszaken, vennootschappen onder firma, commanditaire vennootschappen of maatschappen waar zzp’ers vaak gebruik van maken.

Aanleiding wijziging

Op grond van signalen, meldingen, onderzoeken en gevoerde gesprekken vanuit de samenleving, consumenten belangenbehartigers en de Autoriteit Consument en Markt (ACM), die toeziet op de naleving van de regels voor telemarketing, zijn een aantal problemen geconstateerd met betrekking tot de bescherming van consumenten tegen ongewenste telemarketing:

  • Consumenten zijn over het algemeen niet gediend van ongevraagde telemarketinggesprekken;
  • Natuurlijke personen zijn een relatief kwetsbare groep voor telemarketing, in die zin dat ze ieder moment van de dag ermee geconfronteerd kunnen worden en daar hinder, irritatie en privacyinbreuken van kunnen ondervinden;
  • Telemarketing veroorzaakt onbegrip en irritatie over dat natuurlijke personen steeds voor onbepaalde tijd gebeld kunnen worden, indien zij bij een partij een product of dienst hebben gekocht;
  • Natuurlijke personen zijn onbekend met het recht van verzet, waardoor zij zichzelf niet effectief kunnen beschermen tegen ongewenste telemarketing;
  • Er bestaat problematiek omtrent de effectiviteit van toezicht door de ACM.

Gevolgen

Vanaf 1 juli 2021 moeten telemarketeers van tevoren toestemming hebben van particulieren om ze te benaderen via de telefoon voor marketingdoeleinden. Dit is anders indien sprake is van betalende klanten die hiervan op de hoogte zijn gesteld toen ze klant werden en op dat moment tevens in de gelegenheid zijn gesteld om hiertegen bezwaar te maken . Indien zij geen bezwaar hebben gemaakt, mogen zij ongevraagd gebeld blijven worden.

Verdere uitzonderingen op het toestemmingsvereiste zijn rechtspersonen die handelen in de uitoefening van een beroep of bedrijf en hun telefoonnummer speciaal voor dergelijke doeleinden openbaar hebben gemaakt.

Ten slotte vallen ook abonnees die zijn gevestigd buiten de Europees Economische Ruimte buiten het toepassingsbereik van artikel 11.7 Telecommunicatiewet, indien is voldaan aan de daar toepasselijke regels voor telemarketing via de telefoon.

Wat betekent dit voor uw organisatie?

Indien uw organisatie gebruik maakt van telemarketing, dan moet u in eerste instantie kijken of er een of meerdere uitzonderingen van toepassing zijn, zodat u geen toestemming hoeft te vragen. Als deze uitzonderingen niet van toepassing zijn, dan zult u ervoor moeten zorgen dat u wel vooraf toestemming heeft gekregen.

Om te voldoen aan het toestemmingsvereiste moet de toestemming vrij, specifiek en geïnformeerd zijn. Bovendien moet het blijken uit ondubbelzinnige wilsuiting. Dit houdt in dat de particulier vrij moet zijn om toestemming te weigeren, de particulier goed moet weten aan wie en waarvoor hij toestemming geeft en dat het geven van toestemming moet voortkomen uit een actieve handeling.

De ACM heeft aangekondigd dat ze particulieren actief zullen informeren over de aangepaste regeling en de mogelijkheid tot klagen. De Autoriteit Persoonsgegevens (AP) kan tevens handhaven wanneer sprake is van een onrechtmatige verwerking van persoonsgegevens, wat snel aan de orde zal zijn bij het gebruik van telefoonnummers van particulieren die geen toestemming hebben gegeven.

Vragen?

Heeft u vragen of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link

Even voorstellen: Luna

Wat is jouw rol bij Lumen Group?

Bij Lumen Group ben ik werkzaam als werkstudent Marketing & Communicatie Data Privacy. Binnen deze functie houd ik me bezig met het verrichten van marketing- en communicatie-activiteiten via verschillende (sociale) mediakanalen en de website. Daarnaast valt het schrijven en ontwerpen van inhoudelijke content in de vorm van bijvoorbeeld blogs binnen het kader van mijn werkzaamheden. Verder bied ik ondersteuning bij enkele commerciële activiteiten van Lumen Group.

Hoe zien jouw werkdagen eruit?

Mijn werkdag begint samen met het team met een (online) dagstart. Tijdens deze dagstart bespreken we wat iedereen die dag gaat doen en waar we elkaar kunnen helpen en/of aanvullen. Mijn taken verschillen van dag tot dag, waardoor het werk nooit saai of eentonig is. Aan het einde van de dag vind ik het fijn om een momentje te nemen om te inventariseren welke taken zijn afgerond en welke taken ik de volgende dag oppak. Zo bewaar ik overzicht voor mezelf en kan ik op de meest efficiënte manier m’n werk verrichten.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

Na het afronden van de bachelor Utrecht Law College heb ik ervoor gekozen om een jaar te gaan werken als werkstudent binnen marketing. Hier heb ik kennis gemaakt met het reilen en zeilen van de marketing en communicatie binnen een organisatie. Gedurende deze periode kreeg ik ook voor het eerst te maken met privacy in de praktijk. Ik merkte dat mijn interesse in dit rechtsgebied hierdoor groter werd. De keuze voor de master Intellectueel eigendomsrecht, innovatie en technologie was dan ook snel gemaakt. Tijdens de master merkte ik dat ik een stukje praktijk miste. Toen ik werd benaderd door Lumen Group was de keuze dus snel voor mij gemaakt. Bij Lumen Group kan ik zowel mijn werkervaring als mijn studie toepassen in de werkzaamheden. Dat, en de gezellige sfeer, zijn voor mij de  doorslaggevende factoren geweest om te kiezen voor Lumen Group.

Wat zijn jouw 3 opvallendste eigenschappen?

Ik ben enthousiast, heb doorzettingsvermogen en ben gedreven.

Heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Zoals Pippi Langkous ooit zei: “Ik heb het nog nooit gedaan, dus ik denk dat ik het wel kan”.

Drie jaar AVG: hoe staat het met de FG?

Met de komst van de AVG zijn organisaties die zelf een FG aanstellen verplicht deze aan te melden bij de Autoriteit Persoonsgegevens (AP). Voorheen werden deze gegevens door de AP in een openbaar FG-register gepubliceerd. Tegenwoordig is dit register echter niet meer openbaar. Onlangs is daarom via een Wob-verzoek het FG-register van de AP opgevraagd (door Gosse Bijlenga), om op deze manier een duidelijk beeld te krijgen van de geregistreerde FG’s. Op basis van deze gegevens hebben wij een globaal overzicht gemaakt van de geregistreerde FG’s per sector en hier zijn een aantal bevindingen uitgekomen. Hieronder hebben wij onze bevindingen in drie tabellen weergegeven.

 

Geregistreerde FG’s per sector

In het totaal zijn er 11.341 FG’s geregistreerd bij de Autoriteit Persoonsgegevens. Allereerst blijkt uit de cijfers dat van het totaal geregistreerde FG’s de sector gezondheid en welzijn het grootste aandeel in geregistreerde FG’s heeft (38%). Van het totaal aantal geregistreerde FG’s werkt 15% in de sector Onderwijs, 10% in de sector Informatie en Communicatie en 8% in de sector Zakelijk dienstverlening, respectievelijk Openbaar bestuur.

Verplicht en niet verplicht FG’s per sector

Verder geven de cijfers weer dat in de sector openbaar bestuur, in verhouding tot de andere sectoren, een relatief hoog percentage aangeeft dat er een verplichte FG is (99%). Ook in de sector Onderwijs (94%) en Gezondheid en welzijn (88%) liggen deze percentages hoog. Dit ligt ook voor de hand omdat in deze sectoren het aanstellen van een FG over het algemeen verplicht is. In de sectoren Zakelijke dienstverlening en Informatie en Communicatie geeft ongeveer meer dan de helft van de organisaties aan dat een FG verplicht is (54% en 55%). Over het algemeen kan geconcludeerd worden dat als een organisatie een FG registreert, dat het aanstellen van een FG door de organisatie ook doorgaans verplicht is. Slechts 24% van de organisaties geeft aan dat zij vrijwillig een FG hebben aangesteld.

Interne of externe FG’s per sector

Het is aan de organisaties zelf om een keuze te maken tussen het intern of extern regelen van de FG-functie. In dat kader hebben wij tevens geconstateerd dat op dit moment in bijna alle sectoren het aanstellen van een FG grotendeels intern wordt ingericht (60% is intern). Desondanks zien wij op basis van eerdere gegevens dat steeds meer organisaties de voordelen van het uitbesteden aan een onafhankelijke gespecialiseerde FG inzien en daar dan ook de voorkeur aan geven. In de sector Openbaar bestuur is 66% van de FG’s intern, in de sector Zakelijke dienstverlening is dat 75% en in de sector Informatie en communicatie is dat 72%. In de sector Gezondheid en welzijn is de helft intern (50%). De enige sector waar meer externe FG’s dan interne FG’s zijn aangesteld is de sector Onderwijs (slechts 40% is intern).

Is de FG-functie binnen uw organisatie toekomstbestendig ingericht?

Lumen Group biedt een handreiking met praktische checklist voor directeuren, bestuurders en commissarissen. Krijg duidelijkheid en download onze handreiking met praktische checklist hier. Via ons FG-abonnement helpen wij organisaties aan een onafhankelijke externe toezichthouder, teneinde te voldoen aan artikel 37 AVG. Klik hier voor meer informatie over ons FG-abonnement.

Heb je vragen over de FG-functie?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link.

Op welke manier kun je veilig thuiswerken? (checklist)

Onlangs publiceerde het Centrum Informatiebeveiliging en Privacy (CIP) een praktische handreiking voor Veilig Thuiswerken. Hierin heeft zij tips voor organisaties en adviezen aan medewerkers opgenomen. Hoewel dat de handreiking het CIP primair gericht is op overheidsinstanties, vinden wij dat de tips en adviezen ook voor andere sectoren nuttig en van belang zijn. Daarom hebben wij de checklist hieronder weergegeven. De volledige handreiking van het CIP kun je hier terugvinden.

Checklist voor Veilig Thuiswerken

 

1.  Basisinstellingen van je thuiswerksituatie

Stel de juiste basisinstellingen voor veiligheid en privacy in op al je middelen in je thuiswerksituatie (laptop, computer, printer, telefoon, enz.). Wanneer je twijfelt, lees de handleiding van het apparaat of neem contact op met de helpdesk.

2. Zakelijk

  • Zorg goed voor je apparatuur en maak een veilige verbinding met internet (geen openbare verbinding zonder wachtwoord);
  • Bewaak de actualiteit van je hard- en software (dus installeer aangeboden updates zo snel mogelijk), i.v.m. de support van de leverancier;
  • Gebruik alleen vertrouwde draadloze netwerken;
  • Beveilig je draadloze netwerk met een veilig en sterk wachtwoord;
  • Update het besturingssysteem en de software op je apparatuur zeer regelmatig;
  • Gebruik voor je zakelijke activiteiten altijd je virtuele werkplek binnen de Citrix-omgeving, ook als je thuiswerkt (of managed laptop, VPN en andere MFA oplossingen);
  • Gebruik liefst een veilige app Signal of Threema i.p.v. WhatsApp, zeker als het gaat om het delen van zeer vertrouwelijke informatie;
  • Gebruik een wachtwoordenkluis.

3. Werk je op een apparaat van jezelf?

  • Installeer alle software updates direct;
  • Gebruik een goede virusscanner;
  • Verwijder eventueel lokaal opgeslagen werkinformatie onmiddellijk na gebruik (ook uit de prullenbak!);
  • Mailen naar je privé account is niet toegestaan.

4. Privé

Zet op al je privé-accounts tweefactor-authenticatie, denk aan Twitter, Facebook, Whatsapp, Gmail, Signal, Linked-in, enz. en check geregeld of je wachtwoorden zijn gelekt (bijv. op de website Scattered Secrets).

5. Je werkruimte

  • Werk thuis volgens het clean desk principe: sluit je computer na gebruik af, laat geen documenten liggen. Vergrendel ook thuis het scherm als je weggaat van de werkplek;
  • Zorg ervoor dat je de werkruimte goed opruimt, weet wat je wel en niet kunt bespreken als er mensen op gehoorafstand zijn. Bespreek vertrouwelijke informatie alleen in een afgesloten ruimte
  • Moet je echt iets printen? Gooi deze documenten na gebruik dan niet zomaar weg maar versnipper ze eerst. Of bewaar ze op een veilige plaats thuis en gooi later weg op kantoor;
  • Deel bedrijfsapparatuur nooit met familie of vrienden/bekenden. Laat hen niet meelezen op het scherm;
  • Wees voorzichtig met het plaatsen van foto’s van je thuiswerkplek/apparatuur op sociale media. Wees bewust van informatie die op de foto in te zien is.

6. Wees alert op verdachte contacten via telefoon, sms, e-mail en sociale media

  • Open geen bijlagen, klik niet op links en vul geen gegevens in, als je de afzender niet kent of vertrouwt. Dit geldt ook voor SMS- en Whatsapp-berichten en telefoontjes;
  • Verifieer of een onbekende persoon daadwerkelijk is wie hij/zij zegt te zijn (check bijvoorbeeld het e-mailadres van de afzender;
  • Verstrek nooit vertrouwelijke gegevens aan onbekenden;
  • Meld berichten die je niet vertrouwt. Je service-desk kan je waarschijnlijk helpen.

7. Online vergadersoftware

Gebruik alleen een video-vergader toepassing die door je werkgever is goedgekeurd. Niet alle programma’s voldoen aan de eisen van privacybescherming en informatiebeveiliging.

Meer tips voor Veilig Thuiswerken

Naast de checklist van het CIP voor Veilig Thuiswerken zijn er nog meer tips voor handen. Wij raden aan om de adviezen van het NCSC op te volgen. Hier vind je de link naar de website van het NCSC. Verder raden wij aan om ook de adviezen van de Autoriteit Persoonsgegevens (AP) in het achterhoofd te houden. Hier vind je de link naar de website van de AP.

Heb je vragen over veilig thuiswerken?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.