Algemene Verordening Gegevensbescherming – Wat gaat er veranderen?

De privacywetgeving gaat veranderen, vanaf 25 mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming (AVG) in. Deze wordt vanaf dat moment van toepassing in alle EU lidstaten. Wat gaat er voor jouw organisatie veranderen? En wat moet je doen om aan deze nieuwe verordening te voldoen? Wij leggen het uit.

Transparantie

Heb je wel eens een cookie melding gelezen? Grote kans dat je geen idéé hebt wat er nu precies staat. Hoewel het Nederlands is, zou het ook Aramees kunnen zijn. Dat gaat veranderen, cookie meldingen moeten leesbaar worden voor iedere leek. Er moet dus in eenvoudige bewoordingen staan wat jij met welke gegevens doet. Hoe dat eruit zou kunnen zien? Neem eens een kijkje bij de ANWB.

Ook moet er, ten bate van de transparantie, een duidelijke opt-out functie aanwezig zijn. Deze komt al bijzonder regelmatig terug, maar is niet altijd even duidelijk terug te vinden. Daarbij moeten deze gegevens in al je systemen worden verwerkt, dus in je mailinglijst maar ook in je klantregistratiesysteem.

Persoonsgegevens

Een open deur zou je zeggen, het gaat over persoonsgegevens. Maar iets dieper zien we dat het begrip ‘persoonsgegevens’ verandert. Waar in eerste instantie namen, adressen, e-mailadressen onder dit begrip waren ondergebracht, worden daar nu ook andere gegevens aan toegevoegd. Namelijk gegevens die vallen onder IP-adressen, MAC-adressen en cookies. Dus ook als je niet weet wie de persoon achter een IP-adres of cookie heet, moet je dat behandelen als privacygevoelig.

Documentatie

Voor een bedrijf met 250 medewerkers of meer wordt een documentatieplicht opgelegd. Hoe worden gegevens vastgelegd, en zijn deze wel noodzakelijk? Is de opslag en toegang tot deze gegevens goed geregeld? Kan niet Jan-en-alleman bij deze gegevens komen?

Gegevens e-maillijst

Maak je gebruik van een mailinglijst? Dan moeten de gegevens verder uitgebreid worden. Wellicht heb je nu een voor- en achternaam en e-mailadres. Daar moet bijkomen waar en hoe je aan de informatie gekomen bent en waar de inschrijver mee akkoord is gegaan. Dit zou, bijvoorbeeld, een inschrijving op een nieuwsbrief kunnen zijn.

Gegevens met derden delen

Maken derde partijen gebruik van jouw data? Dan moeten er overeenkomsten worden afgesloten. In deze zogeheten verwerkersoverenkomst worden specifieke afspraken gemaakt over de omgang met persoonlijke gegevens.

BIG-data

Gebruik je grote hoeveelheden data en heb je meer dan 250 medewerkers in dienst? Dan ben je vaak verplicht een Privacy Impact Assessment (PIA) uit te te voeren. Hier wordt geïnventariseerd welke privacy risico’s het verwerken van gegevens met zich meebrengt.

Meldplicht

Wanneer er data verloren gaat of (ongewenst) geopenbaard wordt, moet binnen 72 uur aan de toezichthouder gemeld worden. Houdt het lek een hoog risico in voor de betrokkenen, dan moeten ook zij op de hoogte gesteld worden. Wanneer het bijvoorbeeld om je bankgegevens gaat zal de bank je moeten informeren mocht je informatie op straat komen te liggen.

Recht om te vergeten en te verwijderen

Binnen de verordening is het ‘recht om vergeten’ te worden en het ‘recht om verwijderd’ te worden opgenomen. De eigenaar van de data is verplicht om de data van de betrokkene te verwijderen als hij daarom vraagt. Een voorbeeld hiervan is Google, je kunt bij Google aangeven dat je vergeten wil worden. Zo’n aanvraag kun je hier doen.

E-mail opt-in

Je nieuwsbriefbestand uitbreiden is altijd een goed idee, echter de manier waarop gaat op de schop. Wanneer een persoon zich inschrijft op een nieuwsbrief worden op dit moment algemene gegevens gevraagd. Denk aan namen, en een e-mailadres. In de toekomst moet je kunnen aangeven wanneer een persoon zich ingeschreven heeft, hoe en waar de inschrijving plaats heeft gevonden en welke toestemming er precies gegeven is. Een uitgebreid artikel over dit punt is hier terug te vinden.

Stappenplan

De autoriteit persoons gegevens heeft een stappenplan uitgegeven in voorbereiding op de nieuwe Algemene Verordening. We vatten ze voor je samen. Een uitgebreide versie kun je vinden via de Autoriteit Persoongegevens.

Stap 1. Bewustwording

Zorg ervoor dat de relevante personen binnen je organisatie op de hoogte zijn van de nieuwste privacyregels. Zij moeten de impact inschatten en eventueel aanpassingen maken om aan de AVG te voldoen.

Stap 2. Rechten van betrokkenen

Personen waarvan privacy gevoelige data wordt vastgelegd, hebben het recht tot inzage en verwijdering. Als bedrijf moet je dit mogelijk maken.

Stap 3. Overzicht verwerkingen

Breng alle gegevensverwerkingen in kaart, documenteer welke gegevens je verwerkt en met welk doel je dit doet. Onder de AVG is een verantwoordingsplicht, wat betekend dat je moet kunnen laten zien dat je in overeenstemming met de AVG handelt.

Stap 4. Data protection impact assessment (DPIA)

Sommige organisaties zullen een DPIA uit moeten voeren. Je moet een DPIA uitvoeren als de gegevensverwerking een hoog privacrisico met zich meebrengt.

Stap 5. Privacy by design en privacy by default

Voer nu al maatregelen in voor nieuwe en bestaande processen en systemen. Zo kun je al vroeg de beginselen van de AVG invullen.

Stap 6. Functionaris gegevensbescherming

Let op, lang niet bij elk bedrijf is deze functionaris verplicht. Is dat in jouw organisatie wel het geval? Let dan goed op opleidingen en certificeringen die nodig zijn.

Stap 7. Meldplicht datalekken

Op dit moment is er al een meldplicht datalekken. Deze blijft onder de AVG hetzelfde. Wel worden er strengere aan de registratie van datalekken gesteld.

Stap 8. Bewerkersovereenkomsten (ook wel: Verwerkersovereenkomsten)

Controleer bestaande contracten of stel nieuwe contracten op met derde organisaties die gevoelige data van je bedrijf verwerken.

Stap 9. Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere EU-lidstaten of hebben gegevensverwerkingen in meerdere lidstaten impact? Dan krijg je onder de AVG te maken met één privacy toezichthouder. Dit is dan de leidende toezichthouder

Stap 10. Toestemming

De AVG stelt strengere eisen aan de toestemming van betrokkenen. Je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Voor hen moet het net zo makkelijk zijn om deze in te trekken als te geven.

Boetes

Voldoe je niet aan de eisen van de nieuwe wetgeving? Dan riskeer je een boete. Deze boetes kunnen flink oplopen, tot 4% van je jaaromzet en tot grote bedragen tot wel in de miljoenen. Omdat de AVG zoveel omvattend gaat worden, is het nog maar de vraag hoe al deze vereisten gehandhaafd gaan worden. Toch geld altijd het devies: beter voorkomen dan genezen.

Conclusie

Een enorme lading informatie. Ongetwijfeld zal, naarmate het moment van inzetten van de AVG dichterbij komt, informatie verder uitkristalliseren. Het is belangrijk om te weten welke persoonsgegevens je beheert. Ook moet je weten welke rechten de personen je hebben gegeven, zo kan een persoon wel toestemming geven voor een nieuwsbrief, maar niet voor een andere uiting. Daarnaast mag je alleen de data verzamelen die je nodig hebt, voor het versturen van een nieuwsbrief heb je geen telefoonnummer nodig. Het is nog geen mei 2018, toch is het goed om je nu al voor te bereiden.

Hoe waardeer je dit bericht?
Jan de Rooij

Over Jan de Rooij

Jan is onze commerciële duizendpoot. Hij is breed inzetbaar op het gebied van marketing, sales en projectondersteuning. Als bijkomend voordeel schrijft Jan ook nog eens originele en lekker leesbare content. In zijn vrije tijd houdt Jan zich bezig met fotografie, laat hij clubs schitteren in FIFA 2017 of brengt hij tijd door met zijn vriendin Hannah.


Ook interessant


Wij werken onder andere voor

Niets meer missen?

 

 

Vul je gegevens in, dan houden wij je

op de hoogte van het laatste nieuws. 

Relax, we houden zelf ook niet van spam. We zullen je e-mail adres niet verkopen en sturen je niet vaker dan 1x per maand een bericht.