Nieuws Actueel
De privacywet verandert over een half jaar. Dit zijn de 5 grootste veranderingen
De klant is koning, maar die koning dient al over een half jaar bij Europese wet extra goed beschermd te worden op het gebied van privacy. Hoogste tijd voor bedrijven om nú in actie te komen om de Algemene Verordening Gegevensbescherming (AVG) op orde te hebben. Dat voorkomt straks ellende én mogelijke torenhoge boetes.
Twintig jaar geleden stond het wereldwijde web nog in de kinderschoenen, vonden we inbellen op een 28k8-modem razendsnel en gebruikten we Netscape en AltaVista om te surfen. De tijden veranderen en de huidige privacywet nu eíndelijk ook. Dat werd hoog tijd, want die was nog gebaseerd op een richtlijn uit 1995 (!). Vanaf 25 mei volgend jaar doet de AVG zijn intrede. Deze privacywet (General Data Protection Regulation, GDPR in EU-vaktermen), geldt dan in de hele Europese Unie. In een tijdperk waarin er meer privacygevoelige informatie dan ooit wordt verstuurd en datalekken (helaas) aan de orde van de dag zijn, is dat een goede zaak. Maar er is ook een keerzijde, want voor organisaties levert de overgang naar de nieuwe wet behoorlijk wat administratieve rompslomp op. De hele datahuishouding moet namelijk op orde zijn. De kans is groot dat de nieuwe privacywetgeving uw bedrijf verplicht om:
- Een register bij te houden met álle verwerkingen van persoonsgegevens.
- Data Protection Impact Assessments uit te voeren.
- Een Data Protection Officer (DPO) aan te stellen die intern de onafhankelijke toezichthouder is en de contactpersoon met de Autoriteit Persoonsgegevens.
Lees ook: IoT als motor van de circulaire economie
Uit onderzoeken blijkt dat een groot deel van de organisaties nog lang niet alles op orde heeft voor de nieuwe privacywetgeving. Als dat over een half jaar niet veranderd is, dan kan de economische schade behoorlijk in de cijfers lopen. Ook blijkt dat slechts 35 procent de verwerkingen van persoonsgegevens documenteert - iets wat vanaf volgend jaar bij wet verplicht is. Op het niet naleven van de AVG staat vanaf 25 mei 2018 boetes die kunnen oplopen tot wel 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Daarom is het zaak om vaart te maken met de voorbereidingen zodat uw bedrijf in mei volgend jaar in ieder geval kunt aantonen dat er vorderingen zijn geboekt.
Het begint uiteraard met de kennis wát de belangrijkste veranderingen zijn in de transitie van Wet bescherming persoonsgegevens (Wbp) naar de nieuwe AVG. Dit zijn de vijf belangrijkste accentverschillen:
#1 vragen om toestemming
De AVG is strikter dan de Wbp wat betreft het verwerken van privacygevoelige informatie. Zonder een expliciete en vrijwillig gegeven toestemming is geen enkele verwerking toegestaan. De organisatie moet de toestemming vervolgens vastleggen en bewaren. Het is verstandig om al tijdens de voorbereiding uit te zoeken hoe uw organisatie toestemming vraagt, verkrijgt, vastlegt en bewaart.
#2rechten van de betrokkenen
De AVG geeft individuen uitgebreide rechten om bijvoorbeeld toegang te krijgen tot de eigen informatie, fouten te laten herstellen en data te laten verwijderen en vernietigen. Een organisatie die een verzoek tot vernietiging ontvangt, moet alle data in leesbare vorm overdragen en vervolgens volledig verwijderen. Breng daarom tijdig in kaart waar privacygevoelige data zich bevinden, of die data in leesbare vorm zijn over te dragen en of ze intern zijn te vernietigen. Zorg bovendien voor ‘data governance’ door data te identificeren en classificeren en goede afspraken te maken over het datamanagement.
#3 privacy by design
De AVG dwingt ‘privacy by default’ en ‘privacy by design’ af. Bij de ontwikkeling van een nieuwe dienst of product moet vanaf het begin rekening worden gehouden met de bescherming van privacygevoelige informatie. Een belangrijk onderdeel hierbij is het uitvoeren van Privacy Impact Assessments (PIA’s). Van iedere wijziging moet duidelijk zijn wat de impact is op de bescherming van persoonsgegevens. Organisaties moeten daarom een proces hebben voor het uitvoeren, controleren en borgen van PIA’s.
#4inzicht in de locatie van data
Zonder inzicht waar de data zich bevinden is het onmogelijk om ze te beschermen. Organisaties moeten bovendien toezien op de juistheid van de beschikbare data – die mogen tijdens de verwerking niet worden gewijzigd. Het instellen van een strikt beleid ten aanzien van toegang tot databestanden, identiteitsmanagement en security- en compliancemonitoring zijn bijvoorbeeld manieren om te achterhalen wie toegang heeft tot data en wanneer deze mogelijk zijn gewijzigd.
#5 security awareness
De AVG gaat ervan uit dat alle ‘stakeholders’ en medewerkers zich ervan bewust zijn dat ze met privacygevoelige informatie werken en dat ze op de hoogte zijn van de impact van een datalek. Bij het bepalen van een eventuele boete zal de Autoriteit Persoonsgegevens zeker ook de investeringen in security awarenessprogramma’s meewegen. Uiteraard weegt ook mee welke beveiligingsmaatregelen een organisatie heeft getroffen. De AVG gaat veel meer dan de Wbp in op het belang van informatiebeveiliging.
We zitten middenin de digitale transformatie. Hoe zet je als organisatie daarin de juiste stappen? KPN biedt concrete handvatten en helpt ondernemend Nederland vooruit met The Digital Dutch. Op hele uiteenlopende manieren en met diverse tools: zie kpn.com/thedigitaldutch
