Bent u al klaar voor de AVG?

Bent u al klaar voor de AVG?


Een nieuwe privacywet voor heel Europa, dat is wat de AVG (Algemene Verordening Gegevensbescherming) ons brengt.

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is de Nederlandse variant van de privacywetgeving die vanaf deze datum in de hele Europese Unie (EU) van kracht wordt. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp).
Van belang is dat iedere organisatie moet voldoen aan de strenge eisen van de AVG. Wat gaat er nu allemaal veranderen en wat betekent dit voor u? Bron: www.ictrecht.nl

Inhoud

Activiteiten vallen veel sneller onder de privacywet

Het centrale begrip ‘persoonsgegevens’ gaat met de AVG ingrijpend veranderen: naast bestanden met namen, adressen en dergelijke vallen ook de gegevens die zijn gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder de nieuwe wet. Ook als u niet weet hoe de persoon achter een cookie heet, dient u dat gegeven te behandelen als privacygevoelig.

De privacy- en cookieverklaring moet nóg transparanter

U moet in eenvoudige taal precies, door middel van een privacy- en cookieverklaring, volledig uitleggen wat u doet met persoonlijke gegevens. Ook heeft u de plicht uw afnemers of anderen waarmee u een connectie heeft te wijzen op hun rechten, zoals onder meer dat men zijn of haar gegevens mag aanpassen, het eigen dossier mag inzien of zelfs laten vernietigen.
Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet u ze wijzen op de mogelijkheid om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

Alle datalekken moeten intern worden gedocumenteerd

Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. De AVG stelt het verplicht om alle datalekken intern te documenteren, en derhalve óók de eventuele datalekken die niet gemeld hoeven te worden. En verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan bent u straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden.

Alle verwerkingen van persoonlijke gegevens moeten worden gedocumenteerd

In een register moet komen te staan welke persoonsgegevens er in uw organisatie verwerkt worden, voor welke doeleinden en hoe deze gegevens beveiligd worden.

Met alle leveranciers en afnemers moet een zogeheten verwerkersovereenkomst worden gesloten

In de verwerkersovereenkomst (wat tot dat de AVG in gaat nog wordt aangeduid met bewerkersovereenkomst) maakt u specifieke afspraken over de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt daarbij is dat wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, u hiervoor toestemming nodig hebt van die klant.

Forse boetes

De maximale boete per overtreding van de huidige privacywet is nu € 900.000,-. Dit verandert met de komst van de AVG naar 20 miljoen euro dan wel 4% van de wereldwijde jaaromzet. Bovendien komt er een Europees Comité dat toeziet op de juiste toepassing van de AVG.

Mogelijk heeft u een privacy officer nodig

Een privacy officer, oftewel functionaris voor gegevensbescherming (FG), is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal). Een FG kan iemand zijn die intern wordt aangesteld, maar mag ook een externe zijn die eventueel virtueel mee kijkt. Bijvoorbeeld de privacy officer van ICT Recht

Zitten er risico’s aan een verwerking, dan moet u een complete privacy impact assessment (PIA) uitvoeren.

Een Privacy Impact Assessment (PIA) is een uitgebreid onderzoek om privacy risico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de PIA is uitgevoerd en de resultaten geïmplementeerd, mag u die risicovolle verwerking uitvoeren.

U moet zo min mogelijk privacygevoelige informatie verzamelen en deze zo snel mogelijk weer weggooien

Vanuit de gedachte van risicobeheersing vereist de AVG dat u het minimale aan persoonsgegevens onder u heeft. U moet dus actief informatie weggooien wanneer deze niet meer relevant is. Daarnaast moet u beleid hebben waarin wordt uitgewerkt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.

Uw software en diensten moeten van de grond af rekening houden met de privacy

Het vanaf het eerste moment inbouwen van privacybescherming in de software en de diensten, wordt ook wel ‘privacy by design’ en ‘privacy by default’ genoemd. Kort gezegd moet bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en meegenomen in de uitwerking. Daarnaast moeten standaardinstellingen van een nieuwe dienst zo privacy vriendelijk mogelijk zijn.

Is de beveiliging op orde

Beveiliging van persoonlijke gegevens wordt met de komst van de AVG nog belangrijker dan het nu al is. Zonder encryptie, tweefactor-authenticatie en het kunnen scheiden en veilig wissen van persoonlijke informatie neemt u een zeer groot risico als u persoonlijke gegevens verwerkt of laat verwerken. Verder zullen uw ICT-systemen regelmatig worden onderzocht op mogelijke risico’s.

12: Een intern privacybeleid met taken en verantwoordelijkheden

Alle medewerkers moeten op de hoogte zijn. Dit betekent dat zij getraind moeten zijn, en bovendien dat zo’n training regelmatig moet worden herhaald.

Het kunnen behandelen van persoons verzoeken

Wanneer u verouderde gegevens heeft, moeten deze op verzoek worden gewist. Een verzoek van een betrokkene over zijn persoonsgegevens moet normaal binnen een maand inhoudelijk afgehandeld zijn.

Zijn er online diensten waarin mensen persoonlijke informatie opslaan?

Heeft u online diensten waarin persoonlijke informatie wordt opgeslagen door mensen? Dan moet het mogelijk zijn om al die gegevens te exporteren in een standaardformaat, zodat het eenvoudig aan een andere organisatie kan worden overgedragen.

Werkt u met buitenlandse partijen, controleer dan of zij binnen of buiten de EU persoonlijke informatie voor u opslaan

Dat laatste is alleen toegestaan als er wordt voldaan aan strikte regelgeving, bijvoorbeeld als het land in kwestie door de Europese Commissie gecertificeerd is. De VS is dat: het zogeheten Privacy Shield wat de nodige waarborgen biedt voor het gebruik van Amerikaanse partijen. Ook kunnen klanten van u eisen dat de data gewoon niet de EU verlaat.

Maakt u interesseprofielen of risicoanalyses van uw klanten, bezoekers et cetra?

Maakt u interesseprofielen of risicoanalyses van uw klanten, bezoekers et cetera? Dan moet u hen op verzoek kunnen uitleggen hoe dat gebeurt en wat u daarmee doet. Dit speelt al bij het gebruik van Cookies voor advertentiedoeleinden

ICT RechtZet de eerste stap voor het beveiligd versturen van uw prviacy gevoelige informatie door het inzetten van de dienst Aangetekend Mailen

Neem voor meer informatie contact op

Andere artikelen

Wat is een Digitale handtekening?

Digitaal Ondertekenen

Wat is een Digitale handtekening?

Aangetekend adviesgesprek Philip Voogt

Aangetekend Mailen, Beveiligd Mailen, Digitaal Ondertekenen

Vijf redenen waarom Aangetekend Mailen een goed idee is

Aangetekend adviesgesprek Philip Voogt

Aangetekend Mailen, Digitaal Ondertekenen

Fintech en legaltech. Zo sluiten twee werelden naadloos op elkaar aan.

Benieuwd naar onze digitale, beveiligde en rechtsgeldige oplossingen? In onze Academy vind je niet alleen algemene brochures, whitepapers en gidsen, maar ook sector-specifieke documenten voor o.a. juridische sector, zorg, overheid en credit management. Download eenvoudig de informatie die je nodig hebt en leer hoe onze oplossingen net zo makkelijk werken als het versturen van een e-mail. Klik op de afbeelding of onderstaande knop en krijg direct toegang tot de documenten.

Digitaal. Beveiligd. Rechtsgeldig.

Bent u al klaar voor de AVG?
Bent u al klaar voor de AVG?
Aangetekend Mailen

Verstuur documenten met dezelfde juridische waarde als een fysiek aangetekende brief, supersnel en 24/7 te volgen.

Bent u al klaar voor de AVG?
Beveiligd Mailen

Bescherm privacygevoelige informatie tegen datalekken, eenvoudig en instelbaar naar geldende sectoreisen.

Bent u al klaar voor de AVG?
Digitaal Ondertekenen

Onderteken belangrijke digitale documenten, rechtsgeldig met verschillende authenticatie mogelijkheden.

Bent u al klaar voor de AVG?
Grote Bestanden Versturen

Deel snel en veilig grote bestanden, gemakkelijk gecombineerd met onze andere vertrouwensdiensten.