Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) vervangt per 25 mei 2018 de huidige privacywetgeving. Volgens de Europese Commissie en het Europees Parlement sluit de huidige wetgeving niet meer aan op de dynamische digitale wereld waarin we leven.
Voorheen baseerden Europese landen individueel hun beleid op richtlijnen opgesteld door de Europese Unie. De Wet bescherming persoonsgegevens (Wbp) is daar een voorbeeld van binnen Nederland. Daarbij werd bijvoorbeeld het gebruik van versleuteling (SSL) bij uitwisseling van persoonsgegevens verplicht gesteld.
De nieuwe wetgeving is niet slechts een EU-richtlijn maar een verordening. Dit betekent dat deze regelgeving binnen de gehele EU van toepassing is en overal gelijk is.
Wat betekent dit voor jouw organisatie?
- Bij overtredingen van de gegevensbeschermingsregels kunnen er vanaf 25 mei 2018 sancties worden opgelegd die kunnen oplopen tot 20 miljoen euro of 4% van de algemene jaaromzet.
- De nieuwe wetgeving is ook van toepassing op bedrijven en organisaties buiten de EU die producten of diensten aanbieden binnen de EU en/of gegevens van Europeanen verzamelen.
- Bedrijven en organisaties moeten zelf alle verwerkingen van persoonsgegevens vastleggen en registreren. Hierover moet volgens de nieuwe wetgeving verantwoording kunnen worden afgelegd.
- Gegevens moeten op verzoek van de eigenaar verwijderd kunnen worden uit alle bronnen van het bedrijf of de organisatie. Het gaat hierbij om het recht op inzage, aanpassen en verwijderen van gegevens en het recht om toestemming te kunnen beperken, én weer te kunnen intrekken.
- Gegevens moeten (eenvoudig) overdraagbaar zijn aan andere bedrijven of organisaties (recht op dataportabiliteit).
- Het verbod op de verwerking van van identificatienummers, zoals het Burger Service Nummer (BSN), wordt opgeheven (artikel 24 van de Wet Bescherming Persoonsgegevens). Lokale overheden mogen wel voorwaarden stellen aan het gebruik van identificatienummers.
Voorbereiding op de wetgeving
Inventarisatie gegevensverwerkingen
Breng jouw gegevensverwerkingen duidelijk in kaart. Inventariseer welke gegevens worden vastgelegd en hoe dat gebeurt. Volgens de nieuwe wetgeving moeten bedrijven en organisaties hierover verantwoording kunnen afleggen. Daarnaast is inzicht hierin noodzakelijk om te bepalen welke impact de nieuwe wetgeving heeft op jouw bedrijf of organisatie.
Registreren en melden datalekken
De nieuwe wetgeving stelt bedrijven en organisaties verplicht om (potentiële) datalekken intern vast te leggen. Er moet ook worden vastgelegd hoe wordt omgegaan met datalekken wanneer vermoedelijk of daadwerkelijk een dergelijk incident zich voordoet (beleidsregels meldplicht datalekken).
Functionaris Gegevensbescherming
Verwerkt jouw bedrijf of organisatie (bijzondere) persoonsgegevens op grote schaal? Ga dan na of er een Functionaris Gegevensbescherming aangesteld moeten worden.
Aanscherpen van de privacyverklaring
De privacyverklaring van jouw bedrijf of organisatie zal aangescherpt moeten worden, gedetailleerder worden omschreven dan tot nu toe verplicht en in begrijpbare taal worden opgesteld. Het gaat hierbij om:
- Waarvoor de gegevens gebruikt worden.
- Wat het belang is voor de klant.
- Hoe lang de gegevens bewaard worden.
Klik hier om meer te lezen over het aanscherpen van de privacyverklaring van jouw bedrijf of organisatie.
Verwerkersovereenkomst
Met leveranciers die persoonsgegevens verwerken zullen afspraken moeten worden vastgelegd in een zogenaamde verwerkersovereenkomst (voorheen bewerkersovereenkomst).
Data Privacy Impact Assessment (DPIA)
Bij de implementatie van nieuwe systemen, technieken en het aansluiten van nieuwe gegevensbronnen, moet worden nagegaan of het nodig is een Data Privacy Impact Assessment (DPIA) uit te voeren. Dit betreft een onderzoek dat de impact op en risico’s aangaande de privacy in kaart brengt.
Voor meer informatie aangaande de bovenstaande onderwerpen: https://www.ondernemersplein.nl/ondernemen/bedrijf-organiseren/bereid-u-voor-op-de-algemene-verordening-gegevensbescherming-avg.
Ondersteuning Elonisas
Uiteraard ondersteunen en adviseren wij al onze relaties aangaande deze nieuwe wetgeving.
Privacy by design
Laat je een website, webshop, portaal of applicatie realiseren of doorontwikkelen door Elonisas? Dan houden wij tijdens de ontwerpfase van jouw platform al rekening met de bescherming van persoonsgegevens. De boodschap hierbij is: vraag niet meer gegevens dan strikt noodzakelijk en wees duidelijk over wat het beleid is (privacyverklaring). Er moet expliciet toestemming worden verkregen om persoonsgegevens te mogen gebruiken voor commerciële doeleinden.
Meldplicht datalekken
Wanneer een datalek wordt geconstateerd zal Elonisas hiervan melding maken bij het betreffende bedrijf of organisatie. In samenspraak worden de juiste procedures vervolgens in gang gezet. Ook bij het opstellen van de interne procedures kan Elonisas ondersteuning bieden.
Verwerkersovereenkomst
Elonisas heeft ervaring met het opstellen van verwerkersovereenkomsten. Wij zullen onze relaties hierbij ondersteunen. Binnenkort ontvang je hier ook bericht over in onze nieuwsbrief.
Heb je vragen of heb je ondersteuning nodig? Aarzel niet contact met ons op te nemen.