Feit of fictie: wat u moet weten over de AVG
Specials

Feit of fictie: wat u moet weten over de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, ook wel bekend als de General Data Protection Regulation (GDPR). Bij het verwerken van persoonsgegevens heeft u dan niet meer te maken met de Wet bescherming persoonsgegevens, maar met deze nieuwe regels van de AVG. Het doel van deze nieuwe privacywetgeving is om de regels binnen de hele Europese Unie recht te trekken.

Met deze nieuwe regels van de AVG regelt de Europese Unie de verwerking van privé gegevens. Kwesties zoals de groei van cloudtechnologie en internetgebruik waarbij gebruikers zonder erover na te denken persoonlijke gegevens delen worden aangepakt. De AVG zorgt ook voor verscherping en vergroting van privacyrechten, toenemende toerekeningsvatbaarheid voor organisaties en uniforme autoriteit voor elke Europese privacytoezichthouder.

Deze nieuwe wetgeving is niet alleen van toepassing op bedrijven die binnen de Europese Unie handelen, maar ook op bedrijven die met EU-bewoners handelen of hun gedrag analyseren.

Deze nieuwe privacyverordening vervangt het oude beleid eigenlijk al sinds 2016. De Europese Unie heeft bedrijven echter tot 25 mei 2018 de tijd gegeven om de AVG in te voeren. Bedrijven die hun beleid op deze datum nog niet hebben aangepast, of die de nieuwe gegevensbeschermingwet overtreden, kunnen hoge boetes verwachten van bedragen tot €20 miljoen of 4 procent van de wereldwijde jaaromzet, als dat bedrag hoger uitkomt.

Wat moet uw bedrijf dus doen om in overeenstemming te handelen met de nieuwe AVG-voorschriften die in mei in werking gaan?

Bekijk de huidige gegevensverwerking van uw bedrijf

Controleer al snel welke gegevens uw bedrijf bewaart, hoe deze gegevens worden verwerkt en voor welke doeleinden. Zo kunt u gemakkelijk nagaan welke invloed de nieuwe regelgeving heeft op uw bedrijf en kunt u een plan opzetten om de nieuwe regels binnen uw organisatie in te voeren.

Ga de uitdaging als één bedrijf aan

Waarschijnlijk hebben de nieuwe regels invloed op iedere afdeling binnen uw bedrijf. Zet daarom een strategie op waarmee u in één keer alle veranderingen op alle afdelingen aanpakt. Het is belangrijk dat u precies weet hoe gegevens binnen uw bedrijf worden verwerkt. Ken de rechten van individuen en de plichten van uw organisatie. Voordat u gegevens verwerkt, moet de persoon in kwestie expliciet zijn geldige toestemming geven op basis van volledige informatie. Toestemming door vakjes aan te vinken, of inactiviteit, is gewoonweg niet meer genoeg. Toestemming moet altijd weer ingetrokken kunnen worden en de organisatie moet altijd kunnen aantonen dat toestemming inderdaad is gegeven.

Verwerkt uw organisatie de persoonlijke data van 5000 personen of meer, dan moet u een Data Protection Officer (DPO) of functionaris voor de gegevensbescherming aanstellen in uw bedrijf. Deze moet autonoom zijn en voldoende wetenschap hebben van de privacywetgeving, informatieveiligheid en risicomanagement. Een collectief van instellingen mag gezamenlijk een DPO aanstellen, maar de DPO moet goed bereikbaar zijn voor alle locaties.

Creëer duidelijke en beknopte archieven

Als u een bedrijf bent dat gegevens verwerkt, dan heeft u ook een meldplicht als een datalek zich voordoet. Deze melding moet u binnen 72 uur doen bij de bevoegde toezichthouder en de betrokken personen. Als u dit nalaat, kan dit een boete van €10 miljoen betekenen, of 2 procent van uw wereldwijde omzet, mocht dit bedrag hoger zijn.
Om ervoor te zorgen dat iedereen op de hoogte is van de risico’s en procedures van de nieuwe bescherming van persoonsgegevens, kunt u medewerkers regelmatig een training laten volgen. Overigens kunt u ook de verwerkingsactiviteiten en het interne HR-beleid regelmatig controleren.

Zoals misschien wel is te verwachten, brengt de implementatie van de AVG ook een aantal mythen met zich mee. Het is zeer belangrijk dat u precies weet wat de AVR-richtlijnen zijn, of uw bedrijf voldoet aan deze voorwaarden of wat het moet doen om aan deze voorwaarden te voldoen.

Mythe 1: Het heeft alleen betrekking op digitale databeveiliging

De aandacht voor de AVG ligt vaak op de manier waarop uw digitale data wordt opgeslagen en beschermd. Het gaat echter om veel meer. Het gaat om de bescherming van al uw data, dus ook gegevens op papier. De AVG heeft richtlijnen over zowel het opslaan van papierwerk als digitale gegevens op een harde schijf.

Individuen die hun data uitgeven, kunnen in bepaalde gevallen ook aanspraak maken om hun gegevens weer te laten verwijderen of om zelf compleet vergeten te worden. Kunt u dit niet voldoende verwerken met betrekking tot papieren documenten, dan loopt u het risico dat u in strijd handelt met het informatiebeveiligingsbeleid van de AVG. Het risico dat papieren documenten in de verkeerde handen vallen, is net zo gevaarlijk als iemand die uw computernetwerk hackt.

Investeer daarom in archiefkasten die u op slot kunt doen. Zet een procedure op om papierwerk op te bergen op een manier waarop u het ook weer gemakkelijk terug kunt vinden

Mythe 2: Het is snel in te voeren

Het is misschien gemakkelijker om op lange termijn te beheren, maar het zal waarschijnlijk wat tijd kosten om een nieuw beleid voor databescherming op te zetten. Begin daarom nu alvast aan een informatiebeveiligingsplan zodat uw bedrijf op tijd volgens de regels van AVG handelt.

Mythe 3: Het gaat alleen om de oplegging van boetes

AVG verandert de manier waarop bedrijven persoonlijke gegevens kunnen gebruiken. Op dit moment mogen bedrijven persoonlijke gegevens gebruiken volgens de Wet bescherming persoonsgegevens. De nieuwe voorwaarden van AVG veranderen dit. De AVG geeft individuen meer en beter inzicht over welke informatie bedrijven over hen hebben: in de meeste gevallen moeten bedrijven binnen een maand reageren op een verzoek.

Vanwege de complexe eisen van deze nieuwe Europese wetgeving, is het enorm belangrijk dat u en uw bedrijf volledig in overeenstemming handelen met AVG en dat u weet waarvoor u moet uitkijken. Gegevensbescherming wordt zeer serieus genomen en de nieuwe richtlijnen zijn opgezet om vertrouwen op te bouwen door een sterk en verenigd informatiebeveiligingsbeleid op te zetten voor individuen. Het is cruciaal dat uw bedrijf niet in strijd handelt met deze richtlijnen.