(Geen?) paniek, de Algemene Verordening Gegevensbescherming komt er aan! (maar daar moet je wel wat voor doen)

Vermoedelijk is het bij u al bekend: Vanaf 25 mei 2018 is iedere organisatie verplicht te voldoen aan de Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Hierover wordt binnen “het vakgebied” veel herrie gemaakt. Waarbij veel kreten te horen zijn in de trant van “koop ons product, anders voldoet u niet aan de wet en krijgt u een heel hoge boete!”. Dit heeft natuurlijk een enorm FUD-gehalte (fear, uncertainty and doubt).

Maar waar gaat deze wetgeving eigenlijk over? De AVG zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt verstevigd. Mensen krijgen nieuwe privacyrechten en bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast is in veel gevallen expliciete en ondubbelzinnige toestemming van betrokkenen vereist voor het verwerken van hun gegevens.

De AVG stelt verder dat organisaties onder andere passende technische en organisatorische maatregelen moet nemen om verwerkte persoonsgegevens te beschermen. Welke dat precies zijn wordt niet vermeld (wat ruimte laat voor de eerder genoemde FUD). De toezichthoudende partij in Nederland is de Autoriteit Persoonsgegevens. Deze organisatie handhaaft namens de Nederlandse overheid en is bevoegd boetes uit te delen.

“Wat een gedoe”, denkt u misschien. “Kan ik ook niets doen en afwachten wat er gebeurt en later maatregelen nemen?” Helaas… wat wel duidelijk is: niets doen is geen optie! Zorg dat uw organisatie is voorbereid op deze gewijzigde wetgeving.

Is het voldoen ingewikkeld? Dat hangt er vanaf. De Autoriteit Persoonsgegevens doet zijn best u te helpen. Onder andere is een 10-stappenplan opgesteld om inzicht te geven in wat er moet gebeuren. Het 10-stappenplan biedt toelichting, maar geen inhoudelijke stap-voor-stap handleiding, maar geeft wel inzicht in de impact van deze wetgeving op uw organisatie. De stappen uit het plan zijn:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Is dit stappenplan verplicht? Nee, maar het raakt op hoofdlijnen wel de belangrijkste onderwerpen. Inhoudelijke hulp nodig? Laat het ons weten!

SecVision, specialist in informatiebeveiliging en privacy

Uitgelicht

Welkom bij SecVision, specialist op het gebied van informatiebeveiliging en privacy. Op deze pagina vindt u onze blogs. Verder kunt u hier kennismaken met ons en onze diensten. We vinden het leuk als u contact met ons opneemt! We drinken graag een kop koffie of thee met u om te bespreken wat we voor u en uw organisatie kunnen betekenen.

Zoekt u hulp bij security en privacy? We helpen u graag met vraagstukken op het gebied van ISO27001, NEN7510, Wbp en AVG/GDPR (Algemene Verordening Gegevensbescherming / General Data Protection Regulation)