Vanaf 25 mei 2018 gaat de Algemene Vordering Gegevensbescherming (AVG/GDPR) in. Dit houdt in dat de wetten en regels rondom de verzameling, verwerking en het gebruik van persoonsgegevens nog strenger worden en in heel de EU hetzelfde is. Deze nieuwe wet- en regelgeving kan ook voor jouw onderneming nogal wat voeten in de aarde hebben.
Wat verandert er nu precies?
De nieuwe privacywetgeving heeft als doel om de privacy van Europese burgers beter te beschermen. Iedereen krijgt straks het recht om zelf te beslissen wie welke gegevens mag hebben en voor welke doeleinden deze gegevens gebruikt mogen worden. Je onderneming krijgt door de invoering van de AVG dus meer plichten. Daarnaast moet je onderneming verantwoordelijkheid gaan nemen om aan te tonen dat je je aan de wet houdt. Ben jij er al klaar voor?
Zorg voor bewustwording en voorbereiding
Het is verstandig om je onderneming voor te bereiden op de komende veranderingen. Iedereen die binnen jouw organisatie te maken heeft met persoonsgegevens moet geïnformeerd worden over wat er straks niet meer is toegestaan binnen de AVG. Zo worden de bestaande rechten sterker en komen er ook nieuwe privacy rechten bij. Dit zijn o.a. het recht op vergetelheid en het recht op dataportabiliteit. Je moet aan deze bestaande en nieuwe wetten kunnen voldoen. Gebeurt dit niet dan kunnen er flinke boetes worden uitgedeeld.
Zorg voor overzicht
Het is belangrijk om overzicht te hebben over hoe privacygevoelige gegevens op dit moment verwerkt worden binnen jouw onderneming. Welke persoonsgegevens worden er precies verwerkt en met welk doel is dit? Waar komen de gegevens vandaan en met wie worden de gegevens gedeeld? Je hebt straks verantwoordingsplicht. Je moet als onderneming kunnen aantonen dat je in overeenstemming met de AVG handelt. Een onderdeel hiervan is het bijhouden van een register van verwerkingsactiviteiten.
Een DPIA kan verplicht gesteld worden
Daarnaast kan het uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht gesteld worden voor jouw onderneming. Dit is nodig als je gegevensverwerking een hoog privacy risico met zich meebrengt. Ook een verplichte functionaris voor de gegevensbescherming (FG) kan voor sommige ondernemingen verplicht gesteld worden.
Privacy by design & privacy by default
Ook is het belangrijk dat je je onderneming nu al vertrouwd maakt met de verplichtingen privacy by design en privacy by default. Privacy by design houdt o.a. in dat je niet meer persoonlijke data verzamelt en/of langer bewaart dan nodig is. Privacy by default houdt in dat je standaard privacybescherming moet bieden aan je klanten of de betrokken partijen van jouw onderneming. Mensen ongevraagd aanmelden voor je nieuwsbrief is een voorbeeld van iets wat straks niet meer mag.
Meldplicht datalekken
De plicht voor het melden van datalekken blijft van toepassing. Wel is het zo dat alle datalekken straks gedocumenteerd moeten worden. Hiermee moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt gedaan. Zorg er daarnaast voor dat je verwerkersovereenkomsten hebt opgesteld als je een samenwerking hebt of taken hebt uitbesteed aan een verwerker van persoonsgegevens. Ben je ook in het buitenland actief? Als je bedrijf in meerdere EU landen opereert dan val je straks onder één toezichthouder. Bepaal tijdig onder wie je valt.
Vraag toestemming
Tot slot is het straks verplicht om geldige toestemming te vragen van de personen waarvan je de gegevens verwerkt, bijvoorbeeld je klanten of prospects. Het moet voor deze personen vervolgens ook net zo makkelijk zijn om de toestemming weer in te trekken. Kijk goed naar hoe je formulieren momenteel zijn ingericht en pas ze aan als dit nodig is.
Wil je meer informatie over hoe je dit kunt toepassen binnen jouw onderneming? Kijk dan op de website van Autoriteit Persoonsgegevens.
Interessante links
Alleen een incognito venster is niet genoeg!
Spamfilter houdt phishing en malware buiten de deur!
Update al je devices: de wifi krack maakt jouw netwerk onveilig.