AVG / GDPR: bent u voorbereid?

Per 25 mei 2018 is in de Europese Unie de wet General Data Protection Rule (GDPR) van toepassing. Deze wordt in Nederland Algemene Verordening Gegevensbescherming (AVG) genoemd.  Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Deze wetgeving vervangt in een keer alle nationale wetten, zoals de Wet bescherming persoonsgegevens (Wbp). Wat betekent dat en hoe bereidt u uw organisatie voor op die verandering?

Wat is GDPR?

Op dit moment kennen we in Europa de Richtlijn bescherming persoonsgegevens (95/46/EG). Deze richtlijn stamt uit 1995 en is aan vervanging toe. Op die richtlijn is ook de Wet bescherming persoonsgegevens (Nederland) gebaseerd. 

De GDPR is bindend voor alle Europese lidstaten en vooral veel strenger en minder vrijblijvend geformuleerd als de oude richtlijn.

Belangrijkste wijzigingen

De nieuwe Europese wetgeving brengt een aantal opvallende wijzigingen met zich mee. De belangrijkste luiden als volgt:

1. Veiligheidheidsfunctionaris is verplicht

De GDPR verplicht organisaties tot het aanstellen van een veiligheidsfunctionaris (in het Engels: data protection officer). Dat is een persoon die verantwoordelijk is voor de veiligheid en integriteit van privacygevoelige gegevens.

2. Rechtmatig, behoorlijk en transparant

Volgens artikel 5 van de GDPR moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene ‘rechtmatig, behoorlijk en transparant’ is. Dat betekent dat deze wetgeving expliciet verbiedt dat persoonsgegevens ineens voor andere doeleinden worden gebruikt dan afgesproken met de betrokkene.

Ook moet de organisatie transparant zijn over de manier waarop persoonsgegevens verwerkt worden. Bovendien mogen organisaties niet meer gegevens van de betrokkenen bewaren dan zij nodig hebben voor het beoogde doel. 

3. Eén toezichthouder

Multinationals hebben met de komst van de GDPR alleen nog te maken met de toezichthouder van het land waar de hoofdvestiging staat.

4. Registerplicht

De GDPR stelt een registerplicht in voor alle organisaties. Dat betekent dat de belangrijkste eigenschappen van verwerkingen van persoonsgegevens op een of andere manier moeten worden vastgelegd. In een register moeten organisaties ook hun technische en organisatorische beveiligingsmaatregelen uit de doeken doen. Met de registerplicht vervalt de huidige plicht om verwerking van privacygevoelige data te melden bij de Autoriteit Persoonsgegevens.

5. Hogere boetes

Momenteel bedraagt de maximale boete van de Autoriteit Persoonsgegevens 825.000 euro of 10% van de omzet. Met ingang van de GDPR bedraagt de maximale boete 20 miljoen euro of vier procent van de omzet. 

6. Verplichte privacy assessment

Organisaties die persoonsgegevens verwerken, moeten zichzelf aan een assessment onderwerpen. In zo’n assessment staan bijvoorbeeld de risico’s die gegevensverwerking met zich meebrengen, maar ook eventuele beveiligingsmaatregelen die genomen moeten worden. Van de resultaten van het assessment moet de organisatie een rapport opstellen.

7. Uitgebreidere rechten voor betrokkenen

Onder de GDPR hebben de betrokkenen meer rechten dan voorheen. Zo hebben ze het recht op ‘vergetelheid’ en recht op rectificatie bij onjuiste gegevens. Ook kan een betrokkene recht hebben op het verwijderen van zijn of haar gegevens. Is dat het geval, dan moet de organisatie zo snel mogelijk de persoonsdata wissen. 

Stappen ter voorbereiding

De GDPR brengt dus de nodige wijzigingen met zich mee die vaak van invloed zijn op de dagelijkse bedrijfsvoering. Hoe bereid je je als organisatie hierop voor? We geven u graag een aantal adviezen

1. Analyseer wat moet veranderen

De komst van de GDPR heeft voor vrijwel alle organisaties die persoonsgegevens verwerken gevolgen. Welke dat precies zijn, hangt af van het huidige privacy- en ICT-gebruiksbeleid. Loop de huidige procedures na en pas deze aan waar nodig. Op de website van de Autoriteit Persoonsgegevens vindt u uitgebreide informatie over de aankomende veranderingen. Neem deze zorgvuldig door en toets deze aan het huidige beleid.

2. Stel een privacy- en ICT-gebruiksbeleid in of pas deze aan

Veel organisaties voeren helemaal geen actief privacy- en ICT-gebruiksbeleid. Dit is een goed moment om daar wat aan te veranderen. Wij adviseren u graag over het opstellen en uitvoeren van een privacy- en ICT-gebruiksbeleid.

3. Stel een veiligheidsfunctionaris aan

Deze organisatorische maatregel is nodig om te voldoen aan de GDPR. Daar kun je het beste tijdig mee beginnen, zodat deze persoon zich optimaal kan voorbereiden op zijn of haar nieuwe functie en optimaal de functie uitoefent tegen de tijd dat de wet actief wordt.

4. Verwijder overbodige data

Data die je niet hebt, kun je ook niet lekken. Bovendien verbiedt de GDPR het bezit en verwerking van data die niet relevant zijn voor de dienstverlening. Ga dus de datasets in je organisatie na op overbodige, niet-relevante gegevens en verwijder deze.

5. Vraag ons om hulp

Komt u er niet uit, of heeft u vragen over de komende wetswijzigingen? Wij helpen u graag met een goed advies. Neem contact met ons op via 0113 - 35 24 10 of ti@paree.nl 

Dit bericht delen

Geïnteresseerd in AVG/GDPR, wat moet u weten??