Dit moet je weten over de Algemene Verordening Gegevensbescherming (AVG)

datalekken AVG Algemene Verordening Gegevensbescherming

In 2018 maakt de Wet bescherming persoonsgegevens (Wbp) definitief plaats voor de Algemene Verordening Gegevensbescherming (AVG). Vanaf dat moment geldt in de hele EU dezelfde wetgeving met betrekking tot privacy en de omgang met persoonsgegevens. Dit moet je erover weten.

Wat houdt de AVG precies in?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels bekend als de General Data Protection Regulation (GDPR), is de Europese privacyverordening die onze Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangt. De AVG is in het voorjaar van 2016 in werking getreden, maar bedrijven hebben nog tot 25 mei 2018 de tijd om aan alle regels en onderdelen in de verordening te voldoen.

Deze AVG heeft grote gevolgen voor partijen die persoonsgegevens beheren en verwerken. De verordening is strenger dan de Nederlandse privacywetgeving. Bij de huidige wetgeving moet sprake zijn van opzet of grove schuld voordat een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP) en voordat dit orgaan boetes mag uitdelen. Die bepaling verdwijnt en bedrijven die zich niet aan de regels houden, kunnen straks rekenen op forse boetes.

Wat verandert er ten opzichte van onze huidige privacywetgeving?

Het idee achter de AVG is dat burgers veel meer zeggenschap krijgen over hun data en wat daarmee gebeurt. Organisaties moeten duidelijk maken waarom ze bepaalde (persoons)gegevens nodig hebben en waar die voor worden gebruikt. Burgers kunnen op hun beurt gemakkelijker inzage vragen in opgeslagen data, toestemming intrekken, klachten indienen en gebruikmaken van het recht om vergeten te worden.

Sinds 1 januari 2016 geldt al de meldplicht datalekken. Die houdt in dat bedrijven en overheden direct aan de bel moeten trekken als ze een ernstig datalek hebben. Ook moeten ze het datalek melden aan betrokkenen van wie persoonsgegevens zijn gelekt. In de AVG is een soortgelijke meldplicht opgenomen. Nieuw is het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Hiermee hebben burgers het recht om de persoonsgegevens te ontvangen die een organisatie van ze heeft.

Welke voorbereidingen moet ik treffen?

Allereerst dien je binnen het bedrijf bewustwording te creëren over de nieuwe privacyregels en welke invloed die hebben op de huidige processen, diensten en goederen die het bedrijf levert. Het moet duidelijk zijn dat mensen (klanten) waarvan de persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten krijgen en wat die inhouden.

Verder moet je documenteren welke persoonsgegevens worden verwerkt, met welk doel, waar data vandaan komt en met wie deze wordt gedeeld. Beveiliging is topprioriteit en geadviseerd wordt om gegevens veilig samen te brengen op één plek om het geheel beheersbaar te maken.

Verwijder oude en overtollige data en controleer wie waartoe toegang heeft. Controleer ook de bewerkersovereenkomsten van leveranciers; voldoen die nog aan de vereisten in de AVG? Vanaf het moment dat de AVG definitief in werking treedt, moet elk bedrijf kunnen aantonen dat het in overeenstemming met de verordening handelt.

Sommige organisaties zijn daarnaast verplicht een functionaris gegevensbescherming (FG) aan te stellen. Deze persoon is verantwoordelijk voor de meldplicht en bekleedt een onafhankelijke positie binnen de organisatie. Hij of zij kan daardoor minder makkelijk ontslagen worden. Bedenk nu al wie (binnen de organisatie) de rol van FB op zich neemt. Hoe langer hiermee gewacht wordt, des te lastiger het is een geschikt persoon te vinden.

In de huidige tussenperiode doen bedrijven die persoonsgegevens verwerken er goed aan in kaart te brengen welke maatregelen nodig zijn om te voldoen aan de AVG. Is iedereen binnen de organisatie op de hoogte wat de nieuwe privacyregels inhouden en welke impact ze hebben op de processen en middelen? Maak inzichtelijk met een tijdsplanning welke acties wanneer nodig zijn en hoeveel budget daarvoor vrijgemaakt moet worden.

Welk risico loop ik als ik niets of te weinig met de AVG doe?

De nieuwe Algemene Verordening Gegevensbescherming is de grootste wetswijziging op het gebied van databescherming in twee decennia. Deze Europese privacywetgeving is als gezegd een stuk strenger dan Nederlandse Wet bescherming persoonsgegevens.

In het geval van overtredingen mag de AP vanaf 25 mei 2018 boetes tot maar liefst 4 procent van de jaaromzet of 20 miljoen euro uitdelen. Ook internationale bedrijven moeten zich aan de regels houden als ze gegevens van Europeanen verwerken, zelfs als ze geen vestiging in Europa hebben.

Om boetes te voorkomen en straks klaar te zijn voor de AVG, is het goed om nu al voorbereidingen te treffen. De Autoriteit Persoonsgegevens heeft een stappenplan opgesteld dat je op weg helpt om aan de AVG te voldoen.

Meer weten over veilig werken met mobiele data? Lees de gratis whitepaper 7 securitytips voor het nieuwe werken.

Lees ook