25 mei 2018 GDPR D-Day: bereid je voor op de AVG privacywetgeving.

ATE vd Meer24514b Ate van der Meer 20 november 2017

Het is sneller 25 mei 2018 dan je nu wellicht denkt. Want om je organisatie goed voor te bereiden op de impact die de nieuwe EU privacywetgeving met zich meebrengt, daar is best wat tijd mee gemoeid. Tijd die je nu nog hebt, maar na 25 mei niet meer. De boetes die de Autoriteit Persoonsgegevens op mag leggen, wanneer je je zaken niet op orde hebt, zijn niet mis. Boetes tot 4 procent van de jaaromzet, met een plafond van 20 miljoen Euro, werpen een schrikbeeld op.

 

Wanneer je gebruik maakt van de producten en diensten van gerenommeerde digital en ICT leveranciers, aangesloten bij Nederland ICT of Dutch Digital Agencies, waar Snakeware lid van is, mag je het beste verwachten. Zij hebben allerlei zaken voor haar opdrachtgevers voorbereid, verbeterd en hiervoor speciale verwerkingsovereenkomsten opgesteld. Dit zodat ten allen tijde duidelijk is wie, wanneer, waar en waarvoor verantwoordelijk is, met betrekking tot de AVG privacy wetgeving.


Wij hebben al sinds de oprichting van ons bedrijf in 1995 privacy en security hoog in het vaandel staan. Sander Hollebrand is binnen Snakeware verantwoordelijk voor de privacy en security voor onze opdrachtgevers en wij hebben tevens een functionaris gegevensbescherming (FG) binnen Snakeware.

 

Echter zijn er veel zaken die elke organisatie zelf goed voor elkaar dient te hebben en te borgen, met betrekking tot de AVG. De nieuwe Europese wet op de privacy heeft veel impact en wij leggen het hier graag, in een notendop, (nogmaals) uit.

 

Vanaf 25 mei 2018 geldt in de hele EU dezelfde privacy wetgeving. Onze Nederlandse Wet bescherming persoonsgegevens (Wbp) maakt dan, na 2 jaar reeds qua publicaties beschikbaar te zijn geweest om organisaties hierop voor te bereiden, plaats voor de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels).


De AVG heeft grote gevolgen, met name voor organisaties die persoonsgegevens beheren en verwerken. Gaan zij daarmee verkeerd om, dan kunnen ze op fikse boetes rekenen.

 

Het is best begrijpelijk dat veel ondernemers vooral kijken naar de ‘grote’ organisaties die vol inzetten op big data. Echter is het wel zo dat bijna iedere organisatie moet voldoen aan de AVG, dus ook de slagerij of bakker op de hoek. Want onder de persoonsgegevens die beschermd moeten worden, vallen ook telefoonnummers en e-mailadressen.

 

Stel jezelf maar eens de vraag hoeveel telefoonnummers van klanten hebben jij en je medewerkers in jullie telefoon staan? En heb je niet ooit e-mailadressen van klanten verzameld om nieuwsupdates te kunnen versturen? Juist. De AVG heeft consequenties voor álle bedrijven die zaken doen in de EU.


Hoewel de AVG al sinds begin 2016 in werking is getreden, zitten we momenteel in een tussenperiode. Tot en met 24 mei 2018 wordt er niet gehandhaafd, zodat organisaties de mogelijkheid hebben om aan alle regels en onderdelen in de verordening te voldoen. Je hebt op dit moment nog even de tijd om je goed voor te bereiden. Ons advies is om dit dan ook echt nu te doen, want het is sneller 25 mei 2018 dan je nu denkt.


AVG: Algemene Verordening Gegevensbescherming in een notendop.

Het doel van de nieuwe privacy wetgeving is om persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken. Tegelijkertijd krijgen burgers veel meer zeggenschap over hun data en wat daarmee gebeurt.

 

Zo moeten organisaties duidelijk maken waarom ze bepaalde gegevens nodig hebben en waarvoor deze worden gebruikt. Ook moeten ze burgers desgewenst inzage geven in de opgeslagen data. Burgers mogen hun toestemming intrekken, klachten indienen en gebruik maken van het recht om vergeten te worden. Dat alles betekent dat er behoorlijk wat werk aan de winkel is voor organisaties die persoonsgegevens verwerken. Ze moeten hun beleid herzien en waar nodig aanscherpen.

 

Meldplicht datalekken.

Overigens geldt de meldplicht datalekken al sinds 1 januari 2016. Deze meldplicht schrijft voor dat bedrijven en overheden direct aan de bel moeten trekken wanneer ze een ernstig datalek hebben. Bovendien moeten ze het datalek melden aan betrokkenen van wie persoonsgegevens zijn gelekt.

 

De AVG bevat een soortgelijke meldplicht. Nieuw in de verordening is het recht op dataportabiliteit, wat betrekking heeft op de overdraagbaarheid van persoonsgegevens. Oftewel, burgers hebben het recht om de persoonsgegevens te ontvangen die een organisatie van ze heeft.

 

Ook internationale organisaties die gegevens van Europeanen verwerken, moeten zich aan de AVG houden, zelfs als ze geen Europees kantoor hebben. Voordat ze klanten benaderen, moeten ze bovendien onderzoeken wat de impact is op de privacy.

 

Zo’n data protection impact assessment (DPIA) is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen, om vervolgens passende maatregelen te nemen. Tot slot moet er een functionaris gegevensbescherming (FG) worden aangesteld. Deze persoon bekleedt een onafhankelijke positie binnen de organisatie en is verantwoordelijk voor het melden van datalekken.

 

Voorbereiden op de nieuwe privacywetgeving.

Organisaties die persoonsgegevens verwerken, moeten deze ter voorbereiding op de AVG in kaart brengen en weten wat ermee gebeurt. Persoonsgegevens betreffen alle gegevens die (in)direct iets over iemand vertellen. Denk aan telefoonnummers, e-mailadressen en rekeningnummers, maar ook koop(historie) data.

Inzicht krijgen in de gegevensverwerkingen en in hoeverre die voldoen aan de wettelijke eisen, is de eerste stap in aanloop naar de AVG. Wat voor gegevens zijn het, met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard?

Bedreigingen in kaart brengen.

Is daar eenmaal duidelijkheid over, dan moet bepaald worden wat er mis kan gaan. Breng middels een risicobeoordeling de bedreigingen in kaart, de kans dat de privacy van betrokkenen in het geding komt en wat daarvan de impact is. Op basis van de kans en de impact bepaal je welke risico’s prioriteit hebben en in welke volgorde je ze aanpakt.

Door dat op een rijtje te hebben, maak je de juiste keuzes in het proces en kun je je makkelijker verantwoorden richting de AP. Je moet immers kunnen aantonen dat je ‘in control’ bent en de juiste maatregelen hebt genomen voor de belangrijkste risico’s.

 

De risicobeoordeling vormt de leidraad voor je beleid ten aanzien van (de beveiliging van) persoonsgegevens. Dat beleid bevat richtlijnen voor medewerkers om de privacy van betrokkenen te waarborgen en te voldoen aan de eisen van de AVG.

 

Het is slim om medewerkers al vroeg in de voorbereiding te betrekken en bewustwording te creëren over informatiebeveiliging. Laat ze een training volgen op het gebied van device- en databeveiliging en leg afspraken vast, bijvoorbeeld over toegang en rechten.

 

Stappenplan.

Organisaties kunnen de komende tijd gebruiken om in kaart te brengen welke maatregelen getroffen moeten worden om te voldoen aan de AVG. Is iedereen op de hoogte van de nieuwe privacywetgeving en de impact daarvan op de bedrijfsvoering? Maak met een tijdsplanning inzichtelijk welke acties wanneer nodig zijn en hoeveel budget daarvoor vrijgemaakt moet worden.

 

Om organisaties daarbij te helpen, heeft de AP een stappenplan (PDF) opgesteld met tips om op tijd compliant te worden. Een belangrijke tip, naast de bovengenoemde maatregelen, is de focus op privacy by design. Dat houdt in dat je al bij het ontwerp van producten en diensten rekening houdt met de privacy van de gebruiker en geen data verzamelt die niet essentieel is voor de werking ervan.