De Algemene verordening gegevensbescherming (AVG)

Wat betekent het voor jou?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) een feit. De AVG vervangt vanaf dan de Wet bescherming persoonsgegevens (Wbp). Dit betekent dat in de hele Europese Unie dezelfde privacy-wetgeving geldt. De tijd tot 25 mei 2018 wordt gezien als een overgangsperiode. Bedrijven moeten deze periode zoveel mogelijk benutten om straks écht klaar te zijn voor de AVG. Wat houdt deze nieuwe wetgeving precies in en welke voorbereidingen kun jij treffen?

 

De AVG: wat verandert er precies?

Allemaal leuk en aardig, zo’n AVG, maar is het nodig en wat verandert er precies? Nou, nodig is de AVG zeker. Hacks zijn aan de orde van de dag en daarom is een strengere informatiebeveiliging noodzakelijk. De AVG zorgt onder andere voor een versterking en uitbreiding van privacyrechten en voor meer verantwoordelijkheid voor organisaties. Voldoet jouw bedrijf straks niet aan de AVG, dan riskeer je een boete die kan oplopen tot maximaal EUR 20.000.000 of 4% van de wereldwijde omzet. Kortom: reden genoeg om goed voorbereid te zijn.

 

Bereid jouw bedrijf in 10 stappen voor op de AVG

Neem het heft in eigen hand en bereid je nu alvast voor op de AVG. De Autoriteit Persoonsgegevens (AP) heeft hiervoor 10 stappen gedefinieerd die we hieronder kort toelichten:

#1. Bewustwording

Het traject begint met bewustwording. Welke medewerkers binnen de organisatie moeten op de hoogte zijn van de nieuwe privacyregels? Wat is de impact op de organisatie en wat moet er binnen het bedrijf gebeuren om op 25 mei 2018 te voldoen aan de regels van de AVG?

 

#2. Rechten van betrokkenen

De mensen van wie jouw bedrijf de persoonsgegevens verwerkt (de ‘betrokkenen’), krijgen vanaf 2018 verbeterde rechten en meer rechten, zoals het recht op deportabiliteit. Dit betekent dat zij het recht hebben om de persoonsgegevens te ontvangen die jouw bedrijf van hen heeft. Hier kun je uiteraard nu alvast rekening mee houden.

 

#3. Overzicht verwerkingen

De AVG gaat gepaard met een verantwoordingsplicht. Dit betekent dat je als bedrijf verplicht bent om de gegevensverwerking in kaart te brengen. Welke persoonsgegevens verwerk je? Met welk doel? Waar komen de gegevens vandaan en met wie deelt jouw bedrijf de gegevens?

 

#4. Privacy impact assessment (PIA)

Bedrijven die een hoog privacyrisico lopen, zijn verplicht om een privacy impact assesment (PIA) uit te voeren en eventueel maatregelen te nemen. Bekijk nu alvast of dit voor jouw bedrijf van toepassing is. Je vindt hierover meer informatie op de website van de Autoriteit Persoonsgegevens.

 

#5. Privacy by design & privacy by default

De AVG kent twee verplichte uitgangspunten: privacy by design en privacy by default. Privacy by design betekent dat je als bedrijf al bij het ontwerpen van producten en diensten moet zorgen voor een goede bescherming van persoonsgegevens. Privacy by default houdt in dat je zowel technische als organisatorische maatregelen moet nemen om ervoor te zorgen dat je alleen de persoonsgegevens bewaart die noodzakelijk zijn. Ook hier kun je nu al rekening mee houden.

 

#6. Functionaris voor de gegevensbescherming

Sommige bedrijven worden verplicht gesteld om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bekijk hier alvast of dit ook geldt voor jouw organisatie.

 

#7. Meldplicht datalekken

De AVG stelt strengere eisen aan het melden van datalekken. Zo ben je als organisatie verplicht om alle datalekken te documenteren en niet alleen de datalekken waar een melding van is gemaakt.

 

#8. Bewerkersovereenkomsten

Besteed jouw organisatie de gegevensverwerking uit aan een derde partij, ofwel een bewerker? Bekijk in dat geval of de huidige contracten voldoen aan de eisen van de AVG. Zo niet, dan is het noodzakelijk om hier nieuwe afspraken over te maken en vast te leggen.

 

#9. Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere lidstaten van de EU of is de gegevensverwerking van invloed op meerdere lidstaten? In dat geval hoef je volgens de AVG maar met één privacytoezichthouder, de leidende toezichthouder, zaken te doen.

 

#10. Toestemming

De AVG zorgt voor strengere eisen aan het verkrijgen van toestemming van derden wat persoonsgegevens betreft. Zo ben je verplicht om aan te tonen dat je toestemming hebt gekregen om deze gegevens te verwerken. Ook nieuw: mensen kunnen deze toestemming net zo gemakkelijk weer intrekken.

Je ziet het: de AVG heeft nogal wat gevolgen. Wil je hier meer over lezen? Bekijk dan de website van de Autoriteit Persoonsgegevens voor de laatste informatie.

 

Kom naar onze Security Round Table op donderdag 21 september

In een inspirerend ochtendprogramma praten we CEO’s, CISO’s en E-commerce managers graag bij en gaan we dieper in op de aankomende privacy wetgeving (AVG/GDPR): wat de impact kan zijn van een datalek en hoe we datalekken en boetes tot wel € 20.000.000 of 4% van de wereldwijde omzet kunnen voorkomen.

Dus is B2B e-commerce jullie mission critical én werken jullie met gevoelige (persoonlijke) data? Kom dan op donderdag 21 september naar onze Round Table in Rotterdam. Meld je aan via onderstaande button. Let wel, beschikbare plaatsen zijn beperkt!

Security Roundtable
21 september 2017