Een nieuwe privacywet voor heel Europa, dat is wat de AVG (Algemene Verordening Gegevensbescherming) ons brengt.
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is de Nederlandse variant van de privacywetgeving die vanaf deze datum in de hele Europese Unie (EU) van kracht wordt. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp).
Van belang is dat iedere organisatie moet voldoen aan de strenge eisen van de AVG. Wat gaat er nu allemaal veranderen en wat betekent dit voor u?
1. Activiteiten vallen veel sneller onder de privacywet
Het centrale begrip ‘persoonsgegevens’ gaat met de AVG ingrijpend veranderen: naast bestanden met namen, adressen en dergelijke vallen ook de gegevens die zijn gekoppeld aan IP-adressen, MAC- adressen, cookies en dergelijke onder de nieuwe wet. Ook als u niet weet hoe de persoon achter een cookie heet, dient u dat gegeven te behandelen als privacygevoelig.
2. De privacy- en cookieverklaring moet nóg transparanter
U moet in eenvoudige taal precies, door middel van een privacy- en cookieverklaring, volledig uitleggen wat u doet met persoonlijke gegevens. Ook heeft u de plicht uw afnemers of anderen waarmee u een connectie heeft te wijzen op hun rechten, zoals onder meer dat men zijn of haar gegevens mag aanpassen, het eigen dossier mag inzien of zelfs laten vernietigen.
Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet u ze wijzen op de mogelijkheid om een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
3. Alle datalekken moeten intern worden gedocumenteerd
Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. De AVG stelt het verplicht om alle datalekken intern te documenteren, en derhalve óók de eventuele datalekken die niet gemeld hoeven te worden. En verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan bent u straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden.
4. Alle verwerkingen van persoonlijke gegevens moeten worden gedocumenteerd
In een register moet komen te staan welke persoonsgegevens er in uw organisatie verwerkt worden, voor welke doeleinden en hoe deze gegevens beveiligd worden.
5. Met alle leveranciers en afnemers moet een zogeheten verwerkersovereenkomst worden gesloten
In de verwerkersovereenkomst (wat tot dat de AVG in gaat nog wordt aangeduid met bewerkersovereenkomst) maakt u specifieke afspraken over de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt daarbij is dat wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, u hiervoor toestemming nodig hebt van die klant.
6. Forse boetes
De maximale boete per overtreding van de huidige privacywet is nu € 900.000,-. Dit verandert met de komst van de AVG naar 20 miljoen euro dan wel 4% van de wereldwijde jaaromzet. Bovendien komt er een Europees Comité dat toeziet op de juiste toepassing van de AVG.
7. Mogelijk heeft u een privacy officer nodig
Een privacy officer, oftewel functionaris voor gegevensbescherming (FG), is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal). Een FG kan iemand zijn die intern wordt aangesteld, maar mag ook een externe zijn die eventueel virtueel mee kijkt. Bijvoorbeeld de privacy officer van ICT Recht
8. Zitten er risico’s aan een verwerking, dan moet u een complete privacy impact assessment (PIA) uitvoeren.
Een Privacy Impact Assessment (PIA) is een uitgebreid onderzoek om privacy risico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de PIA is uitgevoerd en de resultaten geïmplementeerd, mag u die risicovolle verwerking uitvoeren.
9. U moet zo min mogelijk privacygevoelige informatie verzamelen en deze zo snel mogelijk weer weggooien
Vanuit de gedachte van risicobeheersing vereist de AVG dat u het minimale aan persoonsgegevens onder u heeft. U moet dus actief informatie weggooien wanneer deze niet meer relevant is. Daarnaast moet u beleid hebben waarin wordt uitgewerkt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.
10. Uw software en diensten moeten van de grond af rekening houden met de privacy
Het vanaf het eerste moment inbouwen van privacybescherming in de software en de diensten, wordt ook wel ‘privacy by design’ en ‘privacy by default’ genoemd. Kort gezegd moet bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en meegenomen in de uitwerking. Daarnaast moeten standaardinstellingen van een nieuwe dienst zo privacy vriendelijk mogelijk zijn.
11. Is de beveiliging op orde
Beveiliging van persoonlijke gegevens wordt met de komst van de AVG nog belangrijker dan het nu al is. Zonder encryptie, tweefactor-authenticatie en het kunnen scheiden en veilig wissen van persoonlijke informatie neemt u een zeer groot risico als u persoonlijke gegevens verwerkt of laat verwerken. Verder zullen uw ICT-systemen regelmatig worden onderzocht op mogelijke risico’s.
12: Een intern privacybeleid met taken en verantwoordelijkheden
Alle medewerkers moeten op de hoogte zijn. Dit betekent dat zij getraind moeten zijn, en bovendien dat zo’n training regelmatig moet worden herhaald.
13. Het kunnen behandelen van persoons verzoeken
Wanneer u verouderde gegevens heeft, moeten deze op verzoek worden gewist. Een verzoek van een betrokkene over zijn persoonsgegevens moet normaal binnen een maand inhoudelijk afgehandeld zijn.
14. Zijn er online diensten waarin mensen persoonlijke informatie opslaan?
Heeft u online diensten waarin persoonlijke informatie wordt opgeslagen door mensen? Dan moet het mogelijk zijn om al die gegevens te exporteren in een standaardformaat, zodat het eenvoudig aan een andere organisatie kan worden overgedragen.
15. Werkt u met buitenlandse partijen, controleer dan of zij binnen of buiten de EU persoonlijke informatie voor u opslaan
Dat laatste is alleen toegestaan als er wordt voldaan aan strikte regelgeving, bijvoorbeeld als het land in kwestie door de Europese Commissie gecertificeerd is. De VS is dat: het zogeheten Privacy Shield wat de nodige waarborgen biedt voor het gebruik van Amerikaanse partijen. Ook kunnen klanten van u eisen dat de data gewoon niet de EU verlaat.
16. Maakt u interesseprofielen of risicoanalyses van uw klanten, bezoekers et cetra?
Maakt u interesseprofielen of risicoanalyses van uw klanten, bezoekers et cetera? Dan moet u hen op verzoek kunnen uitleggen hoe dat gebeurt en wat u daarmee doet. Dit speelt al bij het gebruik van Cookies voor advertentiedoeleinden
Zet de eerste stap voor het beveiligd versturen van uw prviacy gevoelige informatie door het inzetten van de dienst Aangetekend Mailen
Neem voor meer informatie contact op
