Nog een half jaar tot de AVG
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. In de volksmond ook wel de nieuwe privacywetgeving genoemd. Of in internationale kringen General Data Protection Regulation (GDPR). Wat houdt het in? Voor wie geldt het? Wat wordt er van organisaties verwacht? En wat zijn de consequenties als niet aan de nieuwe wet wordt voldaan?
A&A Capacity vertelt het u graag in dit blog en tijdens een lunchsessie op 30 november. En dat niet alleen: samen met onze partners staan wij klaar om u te helpen bij zowel de organisatorische als de technische voorbereiding.
Wat is de AVG?
De AVG is nieuwe, Europese wetgeving. De wet regelt de bescherming van persoonsgegevens en geeft iedereen meer mogelijkheden voor controle over de eigen gegevens. Organisaties moeten hun maatregelen op het gebied van privacy en gegevensbescherming hierop afstemmen.
De wet is weliswaar al in april 2016 aangenomen, maar de handhaving ervan begint op 25 mei 2018. Organisaties hebben dan twee jaar de tijd gehad om maatregelen te nemen.
Wat verstaat de AVG onder persoonsgegevens?
Onder persoonsgegevens verstaat de AVG ‘alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat is een brede formulering. Een IP-adres bijvoorbeeld kan leiden naar een persoon. Maar ook afbeeldingen die niet persoonlijk lijken te zijn kunnen via coderingen misschien wel aan personen worden gekoppeld. Dat wordt allemaal gezien als persoonsgegevens. Voor het omgaan met bepaalde categorieën persoonsgegevens is de AVG extra streng, bijvoorbeeld gegevens met betrekking tot ras, etniciteit, BSN, financiele gegevens, gezondheid of seksuele gerichtheid.
Voor welke organisaties is de wet relevant?
In feite moet elke organisatie zich verdiepen in deze nieuwe wet. Nagenoeg elke organisatie heeft immers te maken met persoonsgegevens: personeelsgegevens, klant- en leveranciersgegevens, de gegevens die worden verzameld via feedbackformulieren en contactformulieren op de website of opnames van bewakingscamera’s; het is maar een greep uit de grote hoeveelheid informatie die direct of indirect kan worden gelinkt aan personen en die binnen organisaties wordt verzameld, vastgelegd, verwerkt en/of geanalyseerd.
Wat houdt de AVG in?
De AVG regelt het verzamelen, opslaan, gebruiken en delen van persoonsgegevens. Een van de belangrijkste effecten van de AVG is dat personen meer te zeggen krijgen over hun eigen gegevens. Daarnaast moeten organisaties die persoonsgegevens verzamelen, verwerken of analyseren aan allerlei nieuwe verplichtingen voldoen. Daarbij gaat het om zes basisbeginselen:
- Duidelijkheid bieden aan personen over de manier waarop hun persoonsgegevens worden gebruikt. Er moet ook een rechtmatige reden zijn om die gegevens te verwerken.
- Voor de verwerking moeten duidelijk omschreven en gerechtvaardigde doeleinden worden vastgelegd. Persoonsgegevens mogen niet worden hergebruikt of openbaar gemaakt voor andere doeleinden.
- Alleen gegevens mogen worden verzameld en opgeslagen die nodig zijn voor het bereiken van de doeleinden.
- De juistheid van de persoonsgegevens moet worden gewaarborgd; ze moeten gewist kunnen worden of gerectificeerd.
- De opslag moet beperkt worden tot de periode die nodig is om de doeleinden te bereiken.
- De veiligheid, integriteit en vertrouwelijkheid van de persoonsgegevens moeten via technische en organisatorische veiligheidsmaatregelen worden gewaarborgd.
Bovendien hebben personen
- het recht op toegang tot c.q. inzage in de persoonsgegevens die de organisatie over ze bewaart
- het recht om hun gegevens te laten corrigeren of verwijderen (het recht op vergetelheid)
- het recht om de organisatie te vragen te stoppen met de verwerking van hun gegevens
- het recht om bezwaar te maken tegen het gebruik van hun gegevens voor direct marketing
- het recht om hun toestemming voor een bepaald gebruik van hun persoonsgegevens in te trekken.
Vanwege het recht op de overdraagbaarheid van gegevens moet de organisatie personen hun gegevens op zo’n manier verstrekken, dat zij die gemakkelijk ergens anders kunnen onderbrengen.
Wat wordt van organisaties verwacht?
Elke organisatie is verplicht maatregelen te nemen, waardoor de veilige verwerking en opslag van persoonsgegevens wordt gewaarborgd. Die maatregelen zijn zowel organisatorisch als technisch van aard. Welke maatregelen dat zijn hangt onder andere af van de aard van de gegevens, de gevoeligheid ervan en de risico’s die eraan zijn verbonden. De veiligheidsrisico’s beslaan een breed spectrum: van inbreker tot ontevreden medewerker en van slordigheid tot hack.
Wat zijn de consequenties als niet aan de wet wordt voldaan?
De Autoriteit Persoonsgegevens (onze nationale toezichthouder) krijgt de bevoegdheid om aanzienlijke boetes op te leggen aan organisaties die zich niet aan de voorschriften houden.
De maximale boete bedraagt 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook kunnen consumenten een civiele rechtszaak aanspannen.
Een ‘inbreuk in verband met persoonsgegevens’ is volgens de AVG een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, per ongeluk of op onrechtmatige wijze. In zo’n geval moet de toezichthouder hiervan binnen 72 uur na constatering op de hoogte worden gebracht en als de betrokken persoon of personen risico lopen op schadelijke gevolgen, moeten ook zij worden geïnformeerd.
Een stappenplan als leidraad
Wat te doen tussen nu en 25 mei 2018 als u nog geen actie heeft ondernomen?
- Onderzoek of de AVG op uw organisatie van toepassing is door een inventarisatie te maken van alle persoonsgegevens binnen de organisatie. Heeft u zulke gegevens of verwacht u ze te gaan verzamelen en hebben ze betrekking op EU-ingezetenen, dan geldt de AVG ook voor u. Leg ook de doeleinden vast, de wijze waarop ze zijn/worden verwerkt en de bewaartermijnen.
- Stel een programma op voor gegevensbeheer. Daarmee regelt u de toegang, het beheer en het gebruik van de gegevens. Het zorgt ervoor dat de procedures voor gegevensverwerking aan de AVG voldoen en dat u makkelijker gehoor kunt geven aan verzoeken om gegevens te wissen of door te geven.
- Neem veiligheidsmaatregelen. Dat is makkelijker gezegd dan gedaan, omdat het om veel soorten risico’s gaat. Risicobeheer en risicobeperkende maatregelen (denk aan wachtwoorden, audit logs en encryptie) zijn echter een belangrijke stap om te voldoen aan de AVG-vereisten. Mocht zich toch een datalek voordoen, dan moet dit zo snel mogelijk worden gesignaleerd en gemeld bij de toezichthouder en eventueel de betrokkene(n). Stel hiervoor een procedure op en zorg voor uitgebreide evaluatie om herhaling te voorkomen.
- Als u samenwerkt met een verwerker van uw gegevens dan bent u als verwerkingsverantwoordelijke verplicht een verwerkingsovereenkomst met deze verwerker(s) af te sluiten. Ook A&A is in veel gevallen de verwerker van uw gegevens. Wij kunnen ondersteunen in het inventariseren, opmaken en in orde brengen van deze overeenkomsten.
- Neem contact met A&A Capacity op, zodat wij u, eventueel samen met onze partner, kunnen helpen bij de introductie van de AVG in uw organisatie.
Wat doet A&A Capacity voor u?
- Proactief informeren, bijvoorbeeld via een nieuwsbericht, dit blog artikel en een informatiebijeenkomst bij ons op locatie.
- Wij zijn een samenwerking aangegaan met experts op het gebied van deze nieuwe wetgeving zodat wij samen met hen zowel technisch als ook procedureel en organisatorisch voor u klaar staan.
- Heeft u een onderhoudscontract en beheren wij uw ICT-omgeving? Dan zijn uw gegevens al in veilige handen en kunt u er vanuit gaan dat wij alle nodige veiligheids- en voorzorgsmaatregelen nemen. Wilt u aan de AVG wet voldoen, dan moeten ook de eerder genoemde aspecten invulling krijgen.