Selecteer een pagina

Er is veel aandacht voor AVG (ook wel GDPR genoemd) de laatste tijd, zowel online als in de media wordt er gesproken over de enorme impact van de implementatie van deze wet met zich meebrengt. Het is niet zo gek dat de aandacht toeneemt, want de AVG zal per 25 Mei 2018 de Wet bescherming persoonsgegevens (Wbp) gaan vervangen. Dat betekent dat er nog minder dan 5 maanden zijn, om je gehele organisatie voor te bereiden!

Wat is geregeld in de AVG?

Deze AVG bevat alle regels en verplichtingen voor organisaties die persoonsgegevens verwerken. De regels richten zich vooral op het beschermen van deze persoonsgegevens en zorgen voor uitgebreidere privacy rechten van werknemers, klanten, burgers, eigenlijk van iedereens gegevens.

Het niet naleven van de AVG kan leiden tot enorme boetes, dus negeren is geen optie J. Het is daarom van essentieel belang om voor 25 mei 2018 ‘AVG klaar’ te zijn. Zorg dus dat je op tijdstart het maken van een plan, zodat je kan beginnen met het correct borgen van de privacy.

 

Maar wij voldoen nu al aan de Wet bescherming persoonsgegevens

Natuurlijk moet je organisatie zich nu ook al aan de Wbp houden, dus zullen er al een hoop zaken goed geregeld zijn. Maar de AVG kent ook een aantal nieuwe verplichtingen. Het is dus belangrijk om in kaart te brengen waar je nu staat en welke stappen je zal moeten nemen om de deadline van 25 mei te halen.

Een paar van deze nieuwe regels en verplichtingen zijn:

1.       Toepassing

De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken binnen de EU. Dat betekent dat bedrijven die geen vestiging in Europa hebben, maar wel klanten in Europa zich ook aan deze wet moeten houden.

Aandachtspunt: maak alle informatiestromen binnen de organisatie inzichtelijk en bepaal welke persoonsgegevens er worden opgeslagen en waar deze vandaan komen.

2.       Toestemming

Alles berust op goedkeuring van de betrokkenen. De goedkeuring voor het verwerken van persoonsgegevens moet bewust worden gegeven. Voor elke toepassing van deze gegevens dienst actief toestemming te worden gevraagd. Dit mag niet via vooraf aangevinkte checkboxen, maar moet duidelijk aan de betrokkenen gevraagd worden. De bewijslast over de toestemming ligt bij de organisatie die de informatie wil verwerken. De betrokkene heeft overigens het recht om deze toestemming altijd weer in te trekken.

Aandachtspunt: Check of je toestemming vraagt voor alle vormen van verwerking en of je kan bewijzen je als organisatie dat je de toestemming hebt gekregen.

3.       Uitgangspunt

De AVG geeft aan dat het verwerken van persoonsgegevens moet voldoen aan:

  • Rechtmatigheid
  • Doelmatigheid
  • Noodzakelijkheid
  • Correctheid

Aandachtspunt: Organisaties moeten kunnen bewijzen dat alle persoonsgegevens die worden verwerkt voldoen aan de bovengenoemde punten. Daarnaast moeten de persoonsgegevens natuurlijk veilig worden opgeslagen. 

4.       Rechten van betrokkene

Elke betrokkene heeft het recht om te weten wat er met zijn persoonsgegevens is gebeurd. Daarnaast heeft de betrokkene het recht op:

1.       Verzet

2.       Inzage

3.       Recht om verwerking te beperken

4.       Recht van bezwaar maken bij marketing doeleinden

5.       Rectificatie

6.       Recht om vergeten te worden

7.       Recht om de gegevens over te dragen

Aandachtspunt: Bespreek de rechten van de betrokkene binnen de organisatie en zorg ervoor dat ze geborgd zijn.

5.       Meldplicht datalekken

Binnen de Wbp waren er al afspraken gemaakt over het melden van datalekken, maar veel bedrijven zijn nog niet actief bezig met mededelingen over datalekken. Ook binnen de AVG zal je een datalek in veel gevallen moeten melden aan de betrokkenen. Het niet of niet tijding melden van zo’n datalek kan flinke gevolgen hebben voor de organisatie.

Aandachtspunt: maak een datalekken protocol.

6.       Boete

Boetes op AVG-overtredingen kunnen erg oplopen. De boetes kunnen oplopen tot 20 miljoen of 4% van je wereldwijde omzet.

Aandachtspunt: Naast het opstellen van procedures en het aanstellen van een DPO, is onderwijs en awareness training essentieel. Alles draait om kennis en het toepassen hiervan. Door genoeg mensen te trainen en de kennis organisatie breed te verspreiden voorkom je boetes achteraf.

Daarnaast is het belangrijk om stil te staan bij:

·         Profilering

·         Bewerkersovereenkomsten

·         Privacy Impact Assessment (PIA)

 

Mocht je meer willen weten over de AVG, kan je bij ons diverse trainingen volgen op het gebied van Privacy. Om te starten als privacy professional, is de training Certified Information Privacy Professional Europe (CIPP/EU) een goed startpunt. 

 


 

Wordt jij de DPO?

BEN JIJ AL KLAAR VOOR DE GDPR?

3 fouten die je met je wachtwoord maakt

3 fouten die je met je wachtwoord maakt

Data, en zeker persoonlijke data, wil iedereen natuurlijk graag veilig opslaan. Eén van de meest voorkomende methodes om deze data te beveiligen is het instellen van wachtwoorden. Bijvoorbeeld met een wachtwoord op al je (mobiele) apparaten. Ook al onze data op sites...

Lees meer
Social Engineering

Social Engineering

Social engineering is een techniek waarbij hackers IT-systemen proberen binnen te dringen door gebruik te maken van onwetendheid en onoplettendheid van de eindgebruiker. In plaats van een technische aanval op een IT-systeem voor te breiden, worden alle pijlen op een...

Lees meer
Hackers moet je koesteren

Hackers moet je koesteren

Hackers hebben geen prettige reputatie. Tik het woord hacker maar eens in op Google en je weet meteen dat hackers eng, gevaarlijk en man zijn. Bij voorkeur zitten ze voorovergebogen achter een pc in een ongedefinieerde ruimte. Vanwege hun duistere werkzaamheden zijn...

Lees meer