X

GDPR, de nieuwe privacy-wetgeving

GDPR wetgeving staat in Nederland ook wel bekend als AVG (Algemene Verordening Gegevensbescherming, vervanger van Wbp – wet bescherming persoonsgegevens). GDPR is namelijk de Europese opvolger hiervan en op 25 mei 2018 gaat deze nieuwe wet in. Wat houdt het in en voor wie is het? Hoe maakt u uw organisatie compliant? In dit artikel leest u wat er van bedrijven en instanties binnen de EU wordt verwacht. Het gratis whitepaper met bijhorende checklist helpen u op weg.

Introductie GDPR Privacy Wetgeving

Automatisering en digitalisering maken het (bedrijfs)leven een stuk gemakkelijker. Technologische ontwikkelingen volgen elkaar in rap tempo op. Anderzijds brengt dit ook risico’s met zich mee. Bijvoorbeeld op het vlak van security en privacy. Regelmatig komt het voor dat persoonlijke gegevens van bijvoorbeeld klanten of medewerkers op straat komen te liggen of in verkeerde handen komen.

Voor de landelijke overheid en ook de Europese Unie is bescherming van persoonlijke gegevens een belangrijk punt. Daarom wordt de huidige wetgeving vanaf volgend jaar aangescherpt en bovendien gehandhaafd. Dit heeft grote invloed op hetgeen van organisaties en haar werknemers wordt verwacht.

 

 

Impact op elk bedrijf en elke instantie

Tegenwoordig beschikt elke organisatie over privacygevoelige informatie. Denkt u hierbij aan klantgegevens (ook zakelijke e-mailadressen), kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens, werknemersgegevens, etc. Om ervoor te zorgen dat deze informatie adequaat wordt opgeslagen, gebruikt en beheerd zal er vanaf volgend jaar, te weten 25 mei 2018, een nieuwe wet van kracht worden genaamd GDPR: General Data Protection Regulation.

De nieuwe wet is in het leven geroepen om de persoonlijke gegevens van individuen binnen de EU beter te beschermen en afspraken hieromtrent te uniformiseren. Voor vrijwel alle instanties en bedrijven heeft dit effect op de manier van werken met documenteren van persoonsgegevens.

 

Maatregelen GDPR niet vrijblijvend

Maatregelen zijn allerminst vrijblijvend. Het gebrek aan een sluitend privacy beleid vergroot namelijk de kans op een datalek. De Autoriteit Persoonsgegevens (AP) kan deze datalekken bij nalatigheid fors bestraffen. De sancties variëren van waarschuwingen en bindende maatregelen, tot een maximale boete van 20 miljoen euro of 4% van de jaaromzet. Dit kan zelfs de draagkracht te boven gaan en leiden tot een faillissement.

Dit is echter niet de enige reden om te zorgen dat de organisatie voldoet aan de privacy wetgeving. Een datalek en vooral ook slecht beleid op dit vlak kunnen leiden tot zeer negatieve media aandacht en kritiek op uw organisatie door de individuen waarvan de privacy gevoelige data op straat is komen te liggen.

 

Basisprincipes van de GDPR

De GDPR-wetgeving heet in Nederland AVG (Algemene Verordening Gegevensbescherming, vervanger van Wbp) en beslaat maar liefst 99 artikelen. In beginsel is er sprake van diverse basisprincipes die voor elke organisatie gelden:

Rechtmatigheid, eerlijkheid en transparantie – persoonlijke data dienen op een rechtmatige, eerlijke en transparante manier verwerkt te worden in relatie tot personen waar de data betrekking op hebben.
Integriteit en vertrouwelijkheid – er dient sprake te zijn van adequate beveiliging van persoonlijke data, inclusief maatregelen tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Dataminimalisering – Alleen data opslaan en gebruiken die noodzakelijk is en uitsluitend beschikbaar is voor medewerkers die de data nodig hebben voor bedrijfsdoeleinden.
Afbakening van het doel – Persoonlijke data mogen uitsluitend worden gebruikt voor duidelijke en rechtmatige doelen.
Afbakening van de opslag – Persoonlijke data worden niet langer opgeslagen dan noodzakelijk is.

Tref de juiste voorbereidingen

De nieuwe wet gaat enorme impact hebben op de werk- en handelswijze in organisaties. Samengevat dienen ‘passende technische en organisatorische maatregelen’ genomen te worden voor de bescherming van privacy. Daar komt veel bij kijken. De oplossing voor een gedegen privacy beleid is drieledig:

1. Goede beveiliging van de IT-omgeving. IT-Security van uw bedrijfsomgeving dient zo te zijn ingericht dat risico’s worden gemeden.
2. Van organisaties wordt verwacht dat er beleid en procedures worden gemaakt. Ook dienen documenten opgesteld te worden die afspraken met derden vastleggen.
3. Beleid en procedures opvolgen. Dat vereist organisatorische aanpassingen. Alle medewerkers dienen op de hoogte te zijn van de do’s en dont’s en hiernaar te handelen.

Hoe privacyproof is uw organisatie?

Inmiddels hebben wij veel commerciële bedrijven en (overheids)instanties GDPR compliant gemaakt. Onze aanpak hebben we laten juridisch laten toetsen en voldoet technisch, juridisch, beleidsmatig en procedureel aan alle strenge eisen. De GDPR-wetgeving is enerzijds een vereiste. Anderzijds kunt u, als u compliant bent, uw klanten en relaties melden dat u voldoet aan de wetgeving en dat zij er dus op kunnen vertrouwen dat u op een veilige en respectvolle manier met hun privacy gevoelige data omgaat.

Wij hebben specialisten in dienst die u kunnen helpen met dit vraagstuk. Hierdoor heeft u één aanspreekpunt die uw organisatie en haar werknemers op zowel beleidsmatig, technisch, organisatorisch als administratief vlak helpt om geheel privacyproof te worden én te blijven.

Wij begrijpen dat dit vraagstuk complex kan zijn. Daarom komen we graag, geheel vrijblijvend, bij u langs om dit onderwerp te bespreken. Samen bekijken en beoordelen we wat er voor uw organisatie nodig is om datalekken te voorkomen, veilig persoonsgegevens te beheren en blijvend te voldoen aan deze nieuwe GDPR-wetgeving.

 

Download: Whitepaper & Checklist

Is uw organisatie klaar voor de nieuwe privacy wetgeving GDPR? Download gratis ons GDPR Whitepaper met handige checklist!
English version of this whitepaper? Click here!


Stappenplan GDPR (AVG)

De Autoriteit Persoonsgegevens schrijft een 10 stappenplan voor dat uitgevoerd dient te worden om compliant te worden.

  1. Bewustwording: zorg ervoor dat uw medewerkers op de hoogte zijn van de privacyregels en pas werkwijzen en processen hierop aan. Ons Security Awareness Programma helpt hierbij.
  2. Rechten van betrokkenen: de personen waarvan u gegevens verwerkt krijgen meer privacyrechten, zoals het recht om vergeten te worden of gegevens in te zien en te wijzigen. Hier dient u naar te handelen.
  3. Overzicht verwerkingen: documenteer welke persoonsgegevens u verwerkt, met welk doel en waar de gegevens vandaan komen en met wie u ze deelt.
  4. Data protection impact assessment (DPIA): met een dergelijk assessment brengt u vooraf in kaart de privacyrisico’s in kaart en hoe u deze aanpakt.
  5. Privacy by design & privacy by default: bij bestaande en nieuwe diensten en producten van uw organisatie verzamelt u alleen de hoognodige gegevens en niet langer dan nodig.
  6. Functionaris voor de gegevensbescherming (FG): voor organisaties groter dan 250 medewerkers geldt de verplichting om een FG aan te stellen.
  7. Meldplicht datalekken: Zorg ervoor dat uw ICT-omgeving goed beveiligd is tegen datalekken. Ook dient u datalekken te documenteren en melden bij de AP.
  8. Verwerkersovereenkomsten: worden uw data wel eens verwerkt door externe partijen, zoals uw softwareleverancier (CRM) of een marketingbureau (zoals nieuwsbrieven)? Dan dient u verwerkersovereenkomsten te sluiten.
  9. Leidende toezichthouder: voert u werkzaamheden uit in meerdere EU-lidstaten? Bepaal dan welke privacytoezichthouder in welke lidstaat u leidend maakt.
  10. Toestemming: zorg ervoor dat de personen van wie u data verwerkt hiermee instemmen.

Direct uw vraag stellen

Heeft u een vraag over dit onderwerp of wilt u meer informatie hierover? Wij helpen u graag. Neemt u contact met ons op voor meer informatie.