8 feiten die je voorbereiden op de nieuwe AVG privacywet 2018

Marije Grandia
25 januari 2018
Terug naar blogoverzicht

Op 25 mei 2018 treedt de nieuwe privacywet in werking, de zogenoemde Algemene Verordening Gegevensbescherming (AVG).

Deze wet stelt strengere eisen aan privacy en de beveiliging van persoonsgegevens, zowel online als offline. Het is noodzakelijk dat organisaties zich gaan voorbereiden op deze wetswijziging, maar de nieuwe wet roept ook nog veel vragen op. Wij helpen je graag op weg.

1. De AVG waarborgt per 25 mei 2018 privacy en veiligheid

De AVG vervangt per 25 mei de huidige Wet bescherming persoonsgegevens en zal gelden voor de hele Europese Unie. AVG is simpelweg de Nederlandse titel voor de Europese General Data Protection Regulation (GDPR). De nieuwe wet zorgt ervoor dat privacy en de veiligheid van persoonsgegevens beter gewaarborgd wordt. Databescherming is bij deze wet dus het kernwoord.

Binnen de nieuwe wet moet het voor iedereen duidelijk zijn wat de rechten en plichten zijn als het gaat om opslag, gebruik en verwerking van persoonsgegevens. Zo moet je als bedrijf straks specifieke toestemming vragen voor de verwerking van persoonsgegevens. Maar wat is specifiek? Dat is op dit moment nog vrij vaag omschreven. De wet behandelt (nog) niet wat concreet wel en niet mag.

2. Toestemming voor verwerking van persoonsgegevens is verplicht

Persoonsgegevens zijn alle gegevens die ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is door meerdere bronnen te combineren.

Wat zijn wel persoonsgegevens, en wat niet?

 

 

 

 

 

 

3. Bezwaar tegen profilering maken kan straks

Wanneer je profilering toepast dien je op verzoek van de geprofileerde inzicht te kunnen geven in de logica hierachter. Met profilering wordt de geautomatiseerde verwerking van persoonsgegevens bedoeld, waarmee je bijvoorbeeld gedrag evalueert en probeert te voorspellen. Zoals wanneer iemand drie keer vrouwenschoenen besteld en je de klant profileert als vrouw. Met deze informatie mail je vervolgens gericht vrouwenproducten naar deze persoon. Vanaf mei 2018 kan de persoon in kwestie hier bezwaar tegen maken en in dit geval moet je haar uitsluiten voor deze profilering.

4. Er zijn persoonsgegevens die je ondanks bezwaar wél mag bewaren

Als een consument zijn of haar persoonsgegevens wil laten verwijderen uit je bestanden, maar je moet de gegevens nog een bepaalde periode bewaren (om te voldoen aan wetgeving). Bijvoorbeeld: het bewaren van administratie voor de belastingdienst.

5. Per 25 mei 2018 verandert er een heleboel

6. Je loopt kans op een flinke boete bij niet naleven van de AVG

Houd je je niet aan de nieuwe regels of heb je een datalek? Dan wacht er mogelijk een flinke boete op je. De boete is vele malen hoger dan nu en loopt straks op tot 4 procent van de jaaromzet of 20 miljoen euro. Veel bedrijven stellen de implementatie van AVG echter uit vanwege onwetendheid en onzekerheid over waar te beginnen. Geen goede strategie. Zorg dus dat je met een (intern of extern) juridisch team om de tafel gaat zitten en ervoor zorgt dat jouw organisatie voldoet aan deze nieuwe wet. Heb je vragen over de AVG met betrekking tot onze dienstverlening? Vraag ons dan zeker om advies.

7. Je kunt genoeg zelf doen om die boete te voorkomen

Functionaris aanstellen

In bepaalde gevallen kan het nuttig zijn iemand binnen je organisatie aan te stellen die toezicht houdt op de verwerking van data. Een zogenoemde functionaris voor gegevensverwerking (FG). Deze persoon kan toezicht houden op de naleving van de AVG. Zorg ervoor dat dit niet dezelfde persoon is als degene die beveiligingsmaatregelen ontwikkelt en doorvoert.

Assessment uitvoeren

De Autoriteit Persoonsgegevens (de instelling die in Nederland de controle op de AVG uitvoert) heeft een handreiking ter beschikking gesteld zodat organisaties makkelijk zelf een data protection impact assessment (DPIA) kunnen (laten) uitvoeren. Organisaties waarbij de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (zoals de overheid), zijn verplicht zo’n DPIA te laten uitvoeren. Het is echter aan te raden om vrijwillig een DPIA te doen op het moment dat je vermoed dat je systematisch en uitvoerig persoonlijke aspecten evalueert, of bijvoorbeeld op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Sluit een verwerkersovereenkomst

Veel organisaties werken met een extern bureau dat zich ook deels bezighoudt met de verwerking van gegevens, zoals bijvoorbeeld een online marketingbureau. Zorg dat het contract is aangepast aan de nieuwe AVG-regels of sluit een ‘verwerkersovereenkomst’. Dit is een subcontract waarin wordt vastgelegd welke data verwerkt wordt en op welke manier.  Daarnaast legt het vast wie er verantwoordelijk is bij die verwerking en voor eventuele datalekken.

Wij hebben een verwerkersovereenkomst opgesteld die voldoet aan alle juridische eisen. Klant bij ons? Dan benaderen we je hier binnenkort mee. Dat scheelt weer wat hoofdbrekens.

Kijk kritisch naar processen en databronnen

Bekijk de beveiliging van je data en privacy van je gebruikers dus goed. Laat klanten zien dat je transparant bent door het proces van dataverwerking in kaart te brengen en te allen tijde beschikbaar te hebben. Kijk naar iedere schakel in het proces. Wees je dus ook bewust van de manier waarop je gegevens deelt met partners met wie je samenwerkt. Er zijn veiligere manieren dan e-mail of Dropbox, om maar een voorbeeld te noemen. Wees alert, wordt bewust en werk aan de naleving van de AVG.

8. Win advies in als je niet zeker bent

Begin nu met de voorbereidingen voor de invoering van de AVG. En als wij zeggen nu, bedoelen we eigenlijk gisteren. Bij vragen of technische ondersteuning zijn wij natuurlijk altijd te bereiken.

 

Deel deze blogpost
Neem contact op met Marije Grandia

Was deze post interessant voor je? Lees meer nieuws van deze auteur. Voor meer informatie kun je ook bellen of mailen.

mail Marije Grandia 0203459488
Meer lezen van Marije Grandia
Reacties (0)
Reageren