GDPR, de nieuwe privacy-wetgeving

Impact op elk bedrijf en elke instantie

Tegenwoordig beschikt elke organisatie over privacygevoelige informatie. Denk je hierbij aan klantgegevens (ook zakelijke e-mailadressen), kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens, werknemersgegevens, etc. Om ervoor te zorgen dat deze informatie adequaat wordt opgeslagen, gebruikt en beheerd zal er vanaf volgend jaar, te weten 25 mei 2018, een nieuwe wet van kracht worden genaamd GDPR: General Data Protection Regulation.

De nieuwe wet is in het leven geroepen om de persoonlijke gegevens van individuen binnen de EU beter te beschermen en afspraken hieromtrent te uniformiseren. Voor vrijwel alle instanties en bedrijven heeft dit effect op de manier van werken met documenteren van persoonsgegevens.

Maatregelen GDPR niet vrijblijvend

Maatregelen zijn allerminst vrijblijvend. Het gebrek aan een sluitend privacy beleid vergroot namelijk de kans op een datalek. De Autoriteit Persoonsgegevens (AP) kan deze datalekken bij nalatigheid fors bestraffen. De sancties variëren van waarschuwingen en bindende maatregelen, tot een maximale boete van 20 miljoen euro of 4% van de jaaromzet. Dit kan zelfs de draagkracht te boven gaan en leiden tot een faillissement.

Dit is echter niet de enige reden om te zorgen dat de organisatie voldoet aan de privacy wetgeving. Een datalek en vooral ook slecht beleid op dit vlak kunnen leiden tot zeer negatieve media aandacht en kritiek op je organisatie door de individuen waarvan de privacy gevoelige data op straat is komen te liggen.

Basisprincipes van de GDPR

De GDPR-wetgeving heet in Nederland AVG (Algemene Verordening Gegevensbescherming, vervanger van Wbp) en beslaat maar liefst 99 artikelen. In beginsel is er sprake van diverse basisprincipes die voor elke organisatie gelden:

Rechtmatigheid, eerlijkheid en transparantie – persoonlijke data dienen op een rechtmatige, eerlijke en transparante manier verwerkt te worden in relatie tot personen waar de data betrekking op hebben.
Integriteit en vertrouwelijkheid – er dient sprake te zijn van adequate beveiliging van persoonlijke data, inclusief maatregelen tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Dataminimalisering – Alleen data opslaan en gebruiken die noodzakelijk is en uitsluitend beschikbaar is voor medewerkers die de data nodig hebben voor bedrijfsdoeleinden.
Afbakening van het doel – Persoonlijke data mogen uitsluitend worden gebruikt voor duidelijke en rechtmatige doelen.
Afbakening van de opslag – Persoonlijke data worden niet langer opgeslagen dan noodzakelijk is.

Tref de juiste voorbereidingen

De nieuwe wet gaat enorme impact hebben op de werk- en handelswijze in organisaties. Samengevat dienen ‘passende technische en organisatorische maatregelen’ genomen te worden voor de bescherming van privacy. Daar komt veel bij kijken. De oplossing voor een gedegen privacy beleid is drieledig:

1. Goede beveiliging van de IT-omgeving. Cybersecurity van je bedrijfsomgeving dient zo te zijn ingericht dat risico’s worden gemeden.
2. Van organisaties wordt verwacht dat er beleid en procedures worden gemaakt. Ook dienen documenten opgesteld te worden die afspraken met derden vastleggen.
3. Beleid en procedures opvolgen. Dat vereist organisatorische aanpassingen. Alle medewerkers dienen op de hoogte te zijn van de do’s en dont’s en hiernaar te handelen.

Hoe privacyproof is je organisatie?

Inmiddels hebben wij veel commerciële bedrijven en (overheids)instanties GDPR compliant gemaakt. Onze aanpak hebben we laten juridisch laten toetsen en voldoet technisch, juridisch, beleidsmatig en procedureel aan alle strenge eisen. De GDPR-wetgeving is enerzijds een vereiste. Anderzijds kun je, als je compliant bent, je klanten en relaties melden dat je voldoet aan de wetgeving en dat zij er dus op kunnen vertrouwen dat je op een veilige en respectvolle manier met hun privacy gevoelige data omgaat.

Wij hebben specialisten in dienst die je kunnen helpen met dit vraagstuk. Hierdoor heb je één aanspreekpunt die je organisatie en haar werknemers op zowel beleidsmatig, technisch, organisatorisch als administratief vlak helpt om geheel privacyproof te worden én te blijven.

Wij begrijpen dat dit vraagstuk complex kan zijn. Daarom komen we graag, geheel vrijblijvend, bij je langs om dit onderwerp te bespreken. Samen bekijken en beoordelen we wat er voor je organisatie nodig is om datalekken te voorkomen, veilig persoonsgegevens te beheren en blijvend te voldoen aan deze nieuwe GDPR-wetgeving.

Goed om te weten: de Europese Unie heeft ook een nieuwe wet in het leven geroepen, die erop is gericht om vitale diensten in Nederland beter te beschermen tegen cyberaanvallen. Hierover lees je meer op de pagina NIS2 Cybersecurity Wet.

English version of this whitepaper? Click here!

Stappenplan GDPR (AVG)

De Autoriteit Persoonsgegevens schrijft een 10 stappenplan voor dat uitgevoerd dient te worden om compliant te worden.

1. Bewustwording: zorg ervoor dat je medewerkers op de hoogte zijn van de privacyregels en pas werkwijzen en processen hierop aan. Ons Security Awareness Programma helpt hierbij.
2. Rechten van betrokkenen: de personen waarvan je gegevens verwerkt krijgen meer privacyrechten, zoals het recht om vergeten te worden of gegevens in te zien en te wijzigen. Hier dien je naar te handelen.
3. Overzicht verwerkingen: documenteer welke persoonsgegevens je verwerkt, met welk doel en waar de gegevens vandaan komen en met wie je ze deelt.
4. Data protection impact assessment (DPIA): met een dergelijk assessment breng je vooraf in kaart de privacyrisico’s in kaart en hoe je deze aanpakt.
5. Privacy by design & privacy by default: bij bestaande en nieuwe diensten en producten van je organisatie verzamel je alleen de hoognodige gegevens en niet langer dan nodig.
6. Functionaris voor de gegevensbescherming (FG): voor organisaties groter dan 250 medewerkers geldt de verplichting om een FG aan te stellen.
7. Meldplicht datalekken: Zorg ervoor dat je ICT-omgeving goed beveiligd is tegen datalekken. Ook dien je datalekken te documenteren en melden bij de AP.
8. Verwerkersovereenkomsten: wordt je data wel eens verwerkt door externe partijen, zoals je softwareleverancier (CRM) of een marketingbureau (zoals nieuwsbrieven)? Dan dien je verwerkersovereenkomsten te sluiten.
9. Leidende toezichthouder: voer je werkzaamheden uit in meerdere EU-lidstaten? Bepaal dan welke privacytoezichthouder in welke lidstaat je leidend maakt.
10. Toestemming: zorg ervoor dat de personen van wie je data verwerkt hiermee instemmen.

Nieuwe cybersecurity wet NIS2

Wist je dat er ook een nieuwe cybersecurity wet actief wordt? De Europese Unie heeft namelijk besloten de cyberbeveiliging en weerbaarheid in de hele EU te versterken: De Raad neemt een nieuwe wetgeving aan. Meer informatie vind je hier: NIS2 Cybersecurity wet

Direct je vraag stellen

Heb je een vraag over dit onderwerp of wil je meer informatie hierover? Wij helpen je graag. Neem contact met ons op voor meer informatie.