Is uw organisatie al klaar voor de nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG)? Op 25 mei 2018 treedt deze nieuwe privacywetgeving in werking en volgens de Europese Commissie is Nederland er nog niet klaar voor. Overigens is Nederland hierin niet het enige land, tot dusver hebben alleen Duitsland en Oostenrijk hun zaakjes op orde.
Hoe zit met uw organisatie? Heeft uw organisatie alles goed geregeld? In deze blog vatten we “kort” de belangrijkste punten van de AVG samen. Daarnaast reiken wij u, ter voorbereiding op de AVG, twee documenten aan: “De AVG in een notendop” en “In 10 stappen voorbereid op de AVG“. Beide documenten treft u verderop in dit blog aan.
Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) kort samenvatten, is een hele uitdaging. In onderstaande vier tabs hebben wij een serieuze poging gedaan dit toch voor elkaar te boksen.
De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe Europese wet voor privacy- en gegevensbescherming. De wet draagt internationaal de naam General Data Protection Regulation (GDPR) en vervangt de land specifieke privacywetgeving. In Nederland vervangt het de de Wet bescherming persoonsgegevens (Wbp). Op 25 mei 2018 treedt deze nieuwe privacywet officieel in werking.
Veranderingen voor mensen
Door de AVG worden de privacyrechten van mensen versterkt en uitgebreid. Hierbij krijgen ze meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. In het kort komt hierop neer:
Toestemming
Organisatie hebben zich aan strikte voorwaarden te houden wanneer ze van mensen een geldige toestemming willen verkrijgen voor het verwerken van hun persoonsgegevens. Ze moeten deze geldige toestemming ook kunnen bewijzen en mensen moeten net makkelijk hun toestemming kunnen intrekken.
Nieuwe privacyrechten
Mensen krijgen door de AVG ook nog een aantal aanvullende rechten, namelijk:
Recht op vergetelheid
Mensen hebben nu al het recht om aan organisaties te vragen hun persoonsgegevens te verwijderen. Met de nieuwe wet kunnen zij tevens eisen dat organisaties de verwijdering doorgeven aan alle andere organisaties die hun gegevens hebben gekregen.
Recht op dataportabiliteit
Mensen hebben straks (onder bepaalde voorwaarden) ook het recht om van organisaties hun persoonsgegevens in een standaardformaat te ontvangen. Dit wordt het recht op dataportabiliteit genoemd.
Door deze maatregel kunnen mensen makkelijker hun gegevens doorgeven aan een andere leverancier van dezelfde soort dienst. Zo kunnen mensen zich bijvoorbeeld uitschrijven bij de ene sociale netwerksite en zich eenvoudig inschrijven bij een andere. Mits het technisch mogelijk is, kunnen mensen zelfs eisen dat een organisatie hun persoonsgegevens direct doorstuurt aan een nieuwe dienstverlener.
Veranderingen voor organisaties
Vanzelfsprekend verandert er door de VGA ook voor organisaties het nodige. Zo hebben organisaties zich aan de verantwoordingsplicht te houden. Dit betekent dat organisaties moeten documenteren welke organisatorische en technische maatregelen zij hebben genomen om aan de AVG te voldoen.
De AVG biedt organisaties tegelijkertijd meer instrumenten om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens.
Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:
Sancties niet naleven AVG
Wanneer een organisatie straks de AVG overtreedt, dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.
- Persoonsgegevens verwerkende organisaties hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht. Wordt (een van) deze verplichtingen niet nagekomen? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, wanneer dat bedrag hoger uitkomt.
- Overtreedt een persoonsgegevens verwerkende organisatie de beginselen of grondslagen van de AVG? Of de privacyrechten van mensen van wie de organisatie gegevens verwerkt? Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, wanneer dat bedrag hoger uitkomt.
Vindt u bovenstaande samenvatting nog te lang, dan raden wij u aan het document “De AVG in een notendop” te downloaden.
[idea]
AVG in een notendop
De Autoriteit Persoonsgegevens heeft een handig document samengesteld met de titel “De AVG in een notendop“. Hiermee krijgt u snel inzicht in het hoe, wat en waarom van de AVG.
[/idea]
De rol van CommITment bij de AVG
Hoewel wij in principe geen persoonsgegevens in opdracht van onze klanten verwerken, dragen wij wel bij aan de beveiliging van hun systemen. Hierbij maken we eerst een grondige analyse van de beveiligingsrisico’s. Dit doen we op vier niveaus:
Vervolgens implementeren we de overeengekomen beveiligingsmaatregelen en voegen deze toe aan ons monitoringssysteem ActiveSense. Daarnaast wordt het beheer vastgelegd in ons ActiveManage programma waarbij er een SLC (Service Level CommITment) wordt afgesproken. Voor onze opdrachtgevers die hiervan gebruik maken, hebben wij ook een verwerkingsovereenkomst klaarliggen.
Naast alle technische en organisatorische maatregelen, is het verhogen van het risicobewustzijn een belangrijke stap in het voorkomen van het verlies van privacy gevoelige informatie. Deze en nog negen andere stappen maken deel uit van het stappenplan “In 10 stappen voorbereid op de AVG”.
[idea]
In 10 stappen voorbereid op de AVG
Heeft uw organisatie zich nog niet voorbereid op de AVG, download dan het stappenplan “In 10 stappen voorbereid op de AVG” dat is opgesteld door de Autoriteit Persoonsgegevens.
[/idea]
Hulp nodig bij de voorbereiding op de AVG?
Weet u niet zeker of uw organisatie klaar is voor de AVG? Heeft u behoefte aan een analyse van uw IT-omgeving? Neem dan contact met ons op. Data security is een belangrijk onderdeel bij onze dienstverlening en wij helpen u er graag bij.
CommITment werkt o.a. voor
