Nieuws

Bent u klaar voor de nieuwe privacywet (AVG)?

Bent u klaar voor de nieuwe privacywet (Avg)?

Op 25 mei 2018 is de Algemene verordening Gegevensbescherming (Avg) van kracht geworden, ook wel bekend als de GDPR. Deze verordening ondersteunt het beschermen van de privacy van alle burgers van de EU. De Avg heeft in principe een enorme impact op elke organisatie waar het gaat om de omgang met persoonsgegevens.

Wat komt er zoal op u af? Aan welke technische en organisatorische eisen moet een organisatie voldoen? Is er een stappenplan om gereed te zijn voor de Avg? Paul de Jager is business consultant en privacy expert bij Docspro, en adviseert in die rol organisaties die documentmanagement- of data capture-systemen willen implementeren. Hij geeft antwoord op de meest voorkomende vragen met betrekking tot de Avg.

Wilt u op de hoogte blijven van de trends en ontwikkelingen? Volg ons dan via LinkedIn of nieuwsbrief.
LinkedIn Nieuwsbrief

Voor wie geldt de nieuwe privacywet?

“De Avg geldt in principe voor alle organisaties die persoonsgegevens bewerken. Het maakt daarbij niet uit hoe groot je als bedrijf bent. Bedenk ook dat het enkel het inzien of opslaan van gegevens al een vorm van bewerken is volgens de Avg,” benadrukt Paul de Jager. “Webwinkels hebben er mee te maken, maar ook gemeentes of verzekeringsmaatschappijen die van talloze burgers uiteenlopende persoonsgegevens verwerken.

Ook wanneer een organisatie taken uitbesteedt, blijft zij zelf eindverantwoordelijk voor een juiste omgang met, en de bescherming van de persoonsgegevens bij deze ketenpartner. En wat te denken van de zorgsector, waar grote hoeveelheden gevoelige of vertrouwelijke persoonlijke informatie rondgaan?, deze sector wordt nog extra beschermd met specifieke wet- en regelgeving, en dat sluit allemaal aan op de AVGg”.

Waarom was er een nieuwe privacywet nodig?

Voorheen hadden EU lidstaten hun eigen nationale wetten die gebaseerd waren op een Europese privacyrichtlijn uit 1995. In Nederland was dat de Nederlandse Wet bescherming persoonsgegevens (Wbp). Een probleem hierbij was dat elke lidstaat zijn eigen interpretatie had van deze richtlijn, met veel onderlinge verschillen tot gevolg. Ook was de richtlijn opgesteld in een tijd zonder Cloud, social media en Internet of Things, waardoor er veel onduidelijkheid was over wie nou waar verantwoordelijk voor was, en dat daardoor de privacy van mensen vaak geschonden werd.

Paul de Jager: “De Avg geeft een voordeel voor bedrijven die in meerdere Europese landen actief zijn, omdat ze nog maar met één privacywet te maken hebben voor al die landen. Dit geeft organisaties, maar ook burgers, meer zekerheid wat hun rechten betreft, zoals het recht om inzage te krijgen in de persoonsgegevens die organisaties van hun bijhouden. Ook heeft men het recht om hun eigen gegevens te controleren en te laten corrigeren, deze te laten blokkeren en zelfs om ‘vergeten’ te worden.”

Hogere marktwaarde

De Avg brengt in eerste instantie veel werk met zich mee, en wordt vaak als lastig ervaren omdat het geen deel is van de kernactiviteiten van de organisatie, maar biedt volgens Paul de Jager vervolgens veel kansen en voordelen voor organisaties. “Datalekken, met identiteitsfraude als mogelijk gevolg, liggen voortdurend op de loer. Klanten of medewerkers van wie persoonsgegevens zijn gelekt en die te maken krijgen met schending van hun privacy, zullen dat de verantwoordelijke organisatie niet in dank afnemen. Of denk aan een bestand met klantgegevens dat op straat belandt. Bedrijven en instellingen die tijdig aan de eisen van de Avg voldoen, zijn beter verzekerd van continuïteit en behoeden zichzelf voor financiële en reputatieschade.

Organisaties die zich bewust zijn van de waarde van zorgvuldige omgang met gegevens voldoen aan de groeiende maatschappelijke vraag naar transparantie, informatiebeveiliging en verantwoord datagebruik. Waar organisaties inspelen op deze vraag en compliance uitdragen, zal het imago zeker verbeteren waardoor een marktwaarde en het klantvertrouwen in deze organisaties zal stijgen.

Documentatieplicht

Organisaties die persoonsgegevens verwerken, hebben onder de Avg meer verantwoordelijkheid gekregen met betrekking tot ‘accountability’ en ‘auditability’ van de organisatie. “Deze verantwoordelijkheid houdt ook in dat er altijd kan worden aangetoond dat er passende maatregelen genomen zijn en dat de werking hiervan effectief is” verduidelijkt Paul de Jager. “Om deze verantwoordingsverplichting na te kunnen komen hebben organisaties een duidelijke documentatieplicht. Via een degelijke privacy boekhouding moeten zij met documenten aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om te voldoen aan de Avg, en zo compliant te zijn.

Verplichtingen worden ook opgelegd aan de keten waar de organisatie deel van is. Wanneer er een datalek van gegevens plaatsvindt bij een leverancier, bijvoorbeeld een salarisadministrateur, is en blijft het bedrijf dat de verwerking heeft uitbesteed toch de eindverantwoordelijke, en dit moet goed geregistreerd zijn.” Organisaties die hun zaken op orde hebben, of al goed op weg zijn, zullen daardoor niet snel geconfronteerd worden met een sanctie die onder de Avg kan worden opgelegd.

Functionaris voor de Gegevensbescherming (FG)

Organisaties zijn soms verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. “Een FG is een privacy expert die de interne organisatie ondersteunt, adviseert en toezicht houdt op de toepassing en naleving van de Avg. De FG staat in nauw contact met alle lagen van de organisatie en heeft passende kennis” licht Paul de Jager toe. “Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen. Hetzelfde geldt voor organisaties die vanuit hun kernactiviteiten op grotere schaal personen volgen -denk aan cameratoezicht- of bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid.”

Data Protection Impact Assessment (DPIA) en stappenplan

Organisaties die gegevens verwerken met een hoog risico voor de privacy van betrokkenen, zijn volgens de Avg verplicht om een DPIA (gegevensbeschermingseffectbeoordeling) uit te voeren voor elk proces of systeem waar persoonsgegevens verwerkt worden. Via dit instrument worden mogelijke privacy risico’s van gegevensverwerkingen in kaart gebracht, om vervolgens maatregelen te kunnen nemen om die risico’s zoveel mogelijk te verkleinen.

Meer weten hoe u zich kan voorbereiden op de AVG / GDPR

Vul onderstaand formulier in en wij nemen zo spoedig mogelijk contact met u op. U kunt ons ook bereiken via sales@docspro.nl of bellen met +31 (0) 172 – 419 334.