Sinds 25 mei 2018 is iedere organisatie verplicht te voldoen aan de Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Hierover is binnen “het vakgebied” veel herrie gemaakt. Waarbij veel kreten te horen zijn in de trant van “koop ons product, anders voldoet u niet aan de wet en krijgt u een heel hoge boete!”. Dit heeft natuurlijk een enorm FUD-gehalte (fear, uncertainty and doubt).
Maar waar gaat deze wetgeving eigenlijk over? De AVG zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt verstevigd. Mensen krijgen nieuwe privacyrechten en bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast is in veel gevallen expliciete en ondubbelzinnige toestemming van betrokkenen vereist voor het verwerken van hun gegevens.
De AVG stelt verder dat organisaties onder andere passende technische en organisatorische maatregelen moet nemen om verwerkte persoonsgegevens te beschermen. Welke dat precies zijn wordt niet vermeld (wat ruimte laat voor de eerder genoemde FUD). De toezichthoudende partij in Nederland is de Autoriteit Persoonsgegevens. Deze organisatie handhaaft namens de Nederlandse overheid en is bevoegd boetes uit te delen.
“Wat een gedoe”, denkt u misschien. “Kan ik ook niets doen en afwachten wat er gebeurt en later maatregelen nemen?” Helaas… wat wel duidelijk is: niets doen is geen optie! Zorg dat uw organisatie voldoet aan deze gewijzigde wetgeving.
Is het voldoen ingewikkeld? Dat hangt er vanaf. De Autoriteit Persoonsgegevens doet zijn best u te helpen. Onder andere is een 10-stappenplan opgesteld om inzicht te geven in wat er moet gebeuren. Het 10-stappenplan biedt toelichting, maar geen inhoudelijke stap-voor-stap handleiding, maar geeft wel inzicht in de impact van deze wetgeving op uw organisatie. De stappen uit het plan zijn:
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
Is dit stappenplan verplicht? Nee, maar het raakt op hoofdlijnen wel de belangrijkste onderwerpen. Inhoudelijke hulp nodig? Laat het ons weten!
Comments are closed