GDPR / AVG

 

De nieuwe privacywetgeving, de AVG of ook de GDPR. Het kan je haast niet ontgaan zijn, dat zou in ieder geval niet moeten. De termen kom je de laatste maanden steeds vaker tegen. Maar wat houdt de wet in en wat betekent het voor jouw bedrijf? Technisch gezien bestaat de Algemene Verordening Gegevensbescherming (AVG) zoals de wet in Nederland genoemd wordt uit 173 overwegingen verwerkt in 99 wetsartikelen verdeeld over 88 pagina’s. En het is bepaald geen lichte kost. Aan de ene kant is dat maar goed ook, want de privacy is belangrijk. Aan de andere kant maakt dat het wel lastig te bepalen wat je nu moet doen om aan de wet te voldoen. Wat zeker is: de AVG treedt op 25 mei 2018 in werking en het is nu écht tijd je erop voor te bereiden. Om je op weg te helpen hebben we AVG in vijf aandachtsgebieden verdeeld.

1. Compliancy

Ofwel het voldoen aan de wetgeving. Nu lijkt dat voor de hand liggend, maar de wet bevat onder andere artikelen die omschrijven hoe je aantoonbaar maakt welke gevoelige gegevens bewaart worden en waarom. En je moet kunnen aantonen of er expliciet toestemming is om gegevens te bewaren, hoe je deze gegevens beschermt en hoe lang je ze mag bewaren.

2. Transparantie

Het moet duidelijk zijn wat je met de gegevens doet en hoe je dat doet. Ook moet je rekening houden met het recht op inzage van eigen gegevens, het recht op rectificatie en gegevensverwijdering en de mogelijk dataportabiliteit.

3. Security

Dat je de gevoelige gegevens goed moet beschermen, spreekt voor zich. De verordening eist dat hiervoor passende technische en organisatorische maatregelen genomen worden, gebaseerd op risicoanalyses en best practices. Wat die passende maatregelen zijn kan echter voor iedere organisatie weer anders zijn. Hierbij hoort ook de periodieke evaluatie van de actualiteit en effectiviteit van deze maatregelen.

4. Governance

Met governance wordt de structuur rm fr inrichting van processen bedoeld die ervoor zorgen dat jouw bedrijf op betrouwbare wijze omgaat met privacy gevoelige gegevens. De wet schrijft bijvoorbeeld voor dat je voor verwerkingen met een hoog risico een gegevensbeschermings-effectbeoordeling (PIA) moet uitvoeren. Ook moet je afspraken maken en vastleggen over de bewerking vangegevens en een meldingsprotocol voor datalekken inrichten.

5. Organisatie

Tot slot onderschrijft de wet dat de informatiebeveiliging staat of valt met hoe goed dit onderwerp leeft binnen jouw organisatie. Om hiervoor te zorgen is de aanstelling van een Functionaris Gegevensbescherming een belangrijkse organisatorische eis. Bovendien zal er een privacybeleid moeten worden opgesteld dat beschrijft hoe jouw organisatie aandacht geeft aan de bescherming van persoonsgegevens. En er moet bijvoorbeeld ook een privacymanagementproces geïmplementeerd worden, zodat er actuele aandacht blijft voor compliancy, transparantie, security en governance.

De Algemene Verordening Gegevensbescherming stelt vanaf mei 2018 jaar dus strenge eisen aan de verwerking van persoonsgegevens en daarmee aan de inrichting van de informatievoorziening. Organisaties die zich daar niet aan houden, hangen serieuze boetes boven het hoofd. Heb je jouw organisatie en de interne processen al conform de wet ingericht, of kun je nog wel hulp gebruiken?