Bent u volgend jaar mei klaar voor de nieuwe privacywetgeving?

Waarschijnlijk heeft u er al over gehoord: de wet- en regelgeving rondom privacy en datalekken staat op het punt een stuk strenger te worden. Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking, in Nederland beter bekend als Algemene Verordening Gegevensbescherming (AVG). Organisaties hebben vanaf die dag te maken met strengere regels rondom dataverwerking. Overtredingen kunnen leiden tot zeer hoge boetes. Er heerst nog veel verwarring over de inhoud van deze wetgeving. Vandaar onderstaand overzicht om deze nieuwe Europese wetgeving toe te lichten.

GDPR is een nieuwe wet die de regels rondom dataverwerking en privacy binnen de gehele EU gelijk maakt

Wat is de GDPR?

De GDPR is een nieuwe wet die de regels rondom dataverwerking en privacy binnen de gehele EU gelijk maakt. Met deze wet krijgen burgers meer zeggenschap over hun persoonsgegevens. De GDPR leidt ertoe dat bedrijven de wijze waarop zij data verwerken expliciet moeten vastleggen. Bovendien zullen zij continu moeten kunnen bewijzen dat ze voldoen aan de richtlijnen die de nieuwe wet stelt.

De nieuwe wetgeving heeft als doel dat bedrijven zorgvuldiger
omgaan met persoonsgegevens. 

Met andere woorden, organisaties krijgen te maken met beduidend meer verantwoordelijkheden rondom de correcte verwerking van klantgegevens. De nieuwe wetgeving wil op die manier bedrijven zorgvuldiger om laten gaan met persoonsgegevens om zodoende de privacy van EU-burgers te verbeteren.

Organisaties moeten kunnen aantonen dat zij de persoonsgegevens op rechtmatige wijze hebben verkregen en dat deze alleen gebruikt worden voor het doel waartoe ze zijn verkregen.

Wat verandert er onder de GDPR?

Een van de grote veranderingen die deze wet met zich meebrengt is de documentatieplicht. Organisaties moeten kunnen aantonen dat zij de persoonsgegevens op rechtmatige wijze hebben verkregen en dat deze alleen gebruikt worden voor het doel waartoe ze zijn verkregen. Organisaties kunnen daarnaast verplicht worden om een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Hierbij moet aangetoond worden wat de geschatte privacy risico’s zijn bij specifieke projecten en diensten.

Wat is de impact van de GDPR?

Bedrijven maken steeds meer gebruik van digitale data. De impact van de GDPR mag dan ook niet worden onderschat. Bedrijven die niet voldoen aan de richtlijnen lopen de kans op een forse boete van de Autoriteit Persoonsgegevens (AP). Deze kunnen oplopen tot maar liefst 20 miljoen euro, of 4 procent van de jaaromzet wanneer dit bedrag groter is. Het is dus noodzaak dat de juiste voorbereidingen worden getroffen om mee te kunnen gaan in deze ontwikkelingen.

Hoe bereidt u zich voor op de GDPR?

Het is zaak uzelf zo snel mogelijk voor te bereiden op de regels van de GDPR. Maar waar moet u nu precies op letten? De Autoriteit Persoonsgegevens heeft een aantal stappen geformuleerd om u alvast op weg te helpen.

Creëer bewustwording

Een adequate beveiliging van bedrijfsgegevens begint bij bewustwording. Het is belangrijk dat belanghebbenden binnen de organisatie op de hoogte zijn van de nieuwe wetgeving. Denk aan beleidsmakers, IT-managers en het MT. Zij kunnen invloed uitoefenen binnen de organisatie om processen aan te passen zodat deze aansluiten bij de nieuwe wet.

Rechten van betrokkenen

Een van de speerpunten van de nieuwe wet is dat klanten hun privacyrechten moeten kunnen uitoefenen. Denk aan bestaande rechten zoals het recht op inzage of het recht op correctie en verwijdering. Ook moet rekening worden gehouden met nieuwe rechten, zoals het recht op dataportabiliteit, waarmee de klant zijn gegevens te allen tijde kan opvragen.

Overzicht verwerkingen

Onder de nieuwe wetgeving valt de verantwoordingsplicht. Het is belangrijk dat u uw gegevensverwerking in kaart kunt brengen. U zult moeten kunnen aantonen welke gegevens u verwerkt, met welk doel, waar de gegevens vandaan komen en met wie u deze deelt. Werk dit proces tijdig uit, zodat u kunt aantonen dat uw manier van gegevensverwerking in lijn is met de nieuwe wet- en regelgeving.

Privacy by design & default

Privacy by design houdt in dat u in de ontwerpfase al rekening houdt met goede beveiliging van persoonsgegevens. Privacy by default betekent dat u organisatorische en technische maatregelen neemt om ervoor te zorgen dat u alleen noodzakelijke gegevens verwerkt. Bouwt u bijvoorbeeld mobiele applicaties, dan mogen die apps uitsluitend gegevens verzamelen die benodigd zijn voor een correct functioneren.

Meldplicht datalekken

Als bedrijf heeft u te maken met een meldplicht voor al uw datalekken. Alle datalekken moeten worden gedocumenteerd. Deze documentatie kan door de AP worden gebruikt als instrument om te kijken of u aan de meldplicht heeft voldaan. Het melden van datalekken is al een belangrijk onderdeel van de huidige wetgeving.

Toestemming voor verwerking

U moet kunnen aantonen dat u toestemming heeft gekregen van betrokkenen om hun gegevens te verwerken. Het is daarom belangrijk dat u de manier waarop u toestemming vraagt, krijgt en registreert, goed controleert. Het bovenstaande is een deel van de voorwaarden waaraan u moet voldoen. 

Meer informatie over hoe u zich goed kunt voorbereiden op de nieuwe wetgeving vindt u op de website van de Autoriteit Persoonsgegevens.

Bron: website Autoriteit Persoonsgegevens