Minder dan 3 maanden te gaan en dan is de AVG, Algemene Verordening Gegevensbescherming (of GDPR), effectief in werking. Alle organisaties in de EU moeten aantonen dat ze voldoen aan deze nieuwe wetgeving. Zo niet, dan volgt een hoge boete. Deze wet biedt ook een mooie kans om de privacy en de informatiebeveiliging binnen uw organisatie op orde te krijgen. Detamore zorgt ervoor dat privacy de juiste aandacht krijgt en dat deze wetgeving effectief wordt geïmplementeerd zodat ook na 25 mei 2018 het belang van privacy binnen uw organisatie geborgd wordt.
Uw kans?
Het recht op privacy is een mensenrecht. De laatste tijd gaat de aandacht voor privacy nadrukkelijk uit naar de vraag hoe bedrijven omgaan met persoonsgegevens. Het heeft niet alleen te maken met de nieuwe Europese privacywet (AVG) die per 25 mei 2018 effectief in werking treedt. Maar het gaat ook met het feit dat privacy een onderdeel zal worden van uw bedrijfsvoering en iedereen heeft er een verantwoordelijkheid in. Het netjes omgaan met persoonsgegevens van uw klanten, cliënten, medewerkers, e.d. wordt een kwaliteitskenmerk.
Privacy kan n.l. botsen met andere ontwikkelingen binnen uw organisatie. Denk aan bedrijfsprocessen die naar de cloud gaan, analyseren van uw klanten met big data, uitwisselen van data met allerlei ketenpartners en outsourcing van bedrijfsprocessen. En dat kan allemaal zonder dat de privacy in gedrang komt, maar alleen als je deze specifieke aandacht geeft.
Detamore zorgt ervoor dat privacy de juiste aandacht krijgt en dat deze wetgeving effectief wordt geïmplementeerd zodat ook na 25 mei 2018 het belang van privacy binnen uw organisatie geborgd wordt.
Maar gaat AVG precies over?
De AVG, Algemene Verordening Gegevensbescherming is de opvolger van de Wbp (Wet bescherming persoonsgegevens) en stelt privacyregels aan het gebruik van persoonsgegevens van alle burgers in Europa. In het Engels is dit de General Data Protection Regulation (GDPR). Door deze Europese wetgeving verandert de manier waarop bedrijven persoonsgegevens verzamelen, beheren en gebruiken. Bedrijven die niet aan de richtlijnen voldoen, kunnen een maximale boete van 20 miljoen euro of 4% van de jaarlijkse, wereldwijde omzet opgelegd krijgen.
Wanneer hebben we het over persoonsgegevens? Dit zijn natuurlijk NAW-gegevens, maar ook bankrekeningnummer, cookies, IP-adres, MAC-adres, etc. En bijzondere persoonsgegevens als gezondheidskenmerken (biomedisch, genetisch), religie, geslacht, etc. wanneer deze in combinatie met een naam of een ander gegeven herleidbaar zijn tot een persoon. Ook wanneer persoonsgegevens gehasht of versleuteld zijn, spreken we nog van persoonsgegevens. Pas wanneer de gegevens volledig geanonimiseerd zijn en je iemand dus niet meer kunt identificeren, zijn het geen persoonsgegevens meer. Verwerken is een breed begrip, zelfs ´gebruiken´ is al verwerken.
Binnen AVG wordt onderscheid gemaakt tussen betrokkene, de verantwoordelijke en de verwerker.
De betrokkene is persoon van wie gegevens vastgelegd/verwerkt worden
De verantwoordelijke is de organisatie die persoonsgegevens in beheer heeft en is degene die bepaalt welke persoonsgegevens worden verwerkt, en op welke manier dat gaat gebeuren.
De verwerker is de partij die wordt ingeschakeld om (een deel van) de verwerking uit te voeren.
De betrokkene heeft binnen de AVG de volgende rechten:
- Toestemming voor gebruik en recht op transparante informatie en communicatie;
- Inzage in doel en verwerkingen van zijn/haar gegevens + beperking van gebruik van de gegevens tot het doel van de verwerking;
- Correctie/verwijdering van zijn/haar gegevens en kennisgeving van verwijdering;
- Beperking van overdracht van gegevens aan anderen anders dan noodzakelijk voor het doel van de verwerking; en
- Bezwaar maken en geen automatische verwerking (o.a. cookies).
Als verantwoordelijke heeft u daarbij de volgende verplichtingen:
Aantoonbaarheid om te voldoen aan deze regelgeving (documentatieplicht), denk aan:
- Verwerkingsregister;
- Verwerkersovereenkomsten;
- Privacyregels proactief toepassen op uw activiteiten (privacy by design/default) en het uitvoeren van een privacy impact assessment voor “grootschalige” verwerking van persoonsgegevens;
- Verantwoordelijke aanwijzen voor bescherming persoonsgegevens Duidelijke afspraken maken met verwerkers;
- Uitsluitend op basis van overeengekomen doel en werkwijze verwerkingen uitvoeren;
- Uw informatiebeveiliging op orde hebben (proportioneel aan het risico);
- Betrokkenen informeren bij datalek (naast melding bij de Autoriteit Persoonsgegevens (AP)).
En als verwerker dient u dus:
- Duidelijke afspraken met verantwoordelijke te maken;
- Uitsluitend op basis van overeengekomen doel en werkwijze verwerkingen uitvoeren;
- Documentatie van alle verwerkingen;
- Uw informatiebeveiliging op orde hebben (proportioneel aan het risico);
- Verantwoordelijke informeren bij datalek (die de afhandeling van het datalek uitvoert).
De aanpak?
Wij bieden u een stappenplan voor de implementatie.
- Zet AVG op de agenda (benoemen rollen en verantwoordelijkheden, management commitment, privacy als kwaliteitskenmerk)
- Opzetten van register van verwerkingen
- Opstellen privacybeleid (intern/Extern)
- Maatregelen voor rechten van betrokkenen
- Maatregelen voor informatiebeveiliging
- Opzetten privacy trainingen
- Afsluiten verwerkersovereenkomsten
- Afhandeling verzoeken en klachten van betrokkenen
- Monitoren, periodieke toetsing en evaluatie
- Opzetten incident/datalek management (melden datalek autoriteiten en betrokkenen)
Doe de gratis AVG-assessment
Detamore biedt u een gratis AVG-assessment. Klik op deze link.