Wat verandert er voor uw bedrijf op 25 mei 2018?

Dat is namelijk de datum dat de algemene verordening gegevensbescherming (AVG) ingaat en dit kan nogal wat consequenties hebben voor uw bedrijf:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • de bevoegdheid van privacytoezichthouders om boetes tot 20 miljoen euro op te leggen.

 

Versterking en uitbreiding van privacyrechten

De AVG geeft natuurlijke personen veel meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens.

Toestemming

Elk persoon moet uw bedrijf toestemming hebben gegeven om hun persoonsgegevens te verwerken. Dit moet u als organisatie kunnen bewijzen en het moet voor mensen ook eenvoudig zijn om deze toestemming weer in te trekken.

Nieuwe privacyrechten

Personen krijgen door de AVG een aantal aanvullende rechten.

Recht op vergetelheid
Mensen hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

Recht op dataportabiliteit
Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

 

Meer verantwoordelijkheden voor organisaties

Verwerkingsregister

Als organisatie bent u verplicht een verwerkingsregister bij te houden van alle verwerkingen die u uitvoert (documentatieplicht). Dit register moet de volgende gegevens bevatten:

  • Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en Data Protection Officer;
  • De verwerkingsdoeleinden;
  • Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • Eventuele doorgifte aan derde landen of internationale organisaties;
  • Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Datalekken moet u intern bijhouden

De AVG stelt het verplicht om alle datalekken intern bij te houden, óók datalekken die niet te hoeven worden gemeld aan de autoriteit persoonsgegevens.Als u echter data verwerkt voor opdrachtgevers dan moet u datalekken ook aan deze opdrachtgevers melden (en zij eventueel aan de autoriteit persoonsgegevens).

Logging

Dit vraag nogal wat van uw ICT systemen, want hoe gaat u bepalen dat er een datalek is? De enige mogelijkheid is het bijhouden van logging, maar dat moet uw ICT-systeem wel ondersteunen. Daarnaast zult u profielen op moeten stellen van medewerkers die data bewerken en deze profielen moeten koppelen aan de logs. Met andere woorden: mag een medewerker bepaalde data bewerken en houd hij zich ook aan deze regel?

Dit klinkt heel simpel, maar het kan een gigantische impact hebben op uw organisatie.
 

Boetes

Met de komst van de AVG verandert het maximale boetebedrag naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Daarnaast zal een Europese organisatie toezien op de juiste toepassing van de AVG.
 

Aanbevelingen

De impact van de AVG op de bedrijfsvoering is zeer ingrijpend. Zo zal uw organisatie een verwerkingsregister moeten hebben waarin precies verteld wordt welke persoonsgegevens verwerkt worden. Een ander issue is het melden van datalekken, zowel van interne medewerkers als door externe omstandigeheden (hacks).

Ondanks dat de AVG niet voorschrijft dat er logging moet plaatsvinden is dit de enige manier om interne datalekken te signaleren. Deze logging zal niet alleen moeten plaatsvinden, maar ook bekeken moeten worden (al dan niet geautomatiseerd). Een ander proces waar naar mijn idee goed naar gekeken moet worden is het recht van inzage en mutatie en het recht om vergeten te mogen worden.

Het is dus van belang om de organisatie AVG-bewust te maken, bijvoorbeeld door workshops en trainingen. Dingen die hierin aan bod moeten komen zijn onder andere de strekking van de wet (bijvoorbeeld het verschil tussen normale en bijzondere persoonsgegevens), de impact van de AVG op de organisatie en de eigen verantwoordelijkheid van medewerkers.
 

Quickscan

Door middel van een quickscan geven we inzicht in hoeverre u klaar bent voor de AVG.