Vanaf 25 mei 2018 geldt een nieuwe privacywetgeving in de gehele EU, genaamd Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR). De Wet Bescherming Persoonsgegevens (WBP) komt hiermee te vervallen.
Verandering in richtlijnen
Waar informatiebeveiliging vroeger een keuze was, is het in het hedendaagse IT-tijdperk de basis van verantwoord ondernemen. Organisaties die persoonsgegevens verwerken, krijgen steeds meer verplichtingen, met nadruk op aantoonbaarheid van registraties volgens wettelijke richtlijnen. Middels nieuwe en sterkere rechten ontstaat een verbeterde positie voor de eigenaar van de data.
4 belangrijke aandachtspunten
Door pro-actief te handelen op 4 aandachtspunten zijn organisaties goed voorbereid op de aankomende veranderingen die de AVG met zich meebrengt:
Bewustwording
Begin bij relevante mensen in de organisatie met het inventariseren van de kennis en handelen volgens de privacywetgeving. IT wordt over het algemeen niet op een veilige manier ingezet omdat er onvoldoende bewustzijn is over de kwetsbaarheid van informatie. Het veranderen van die houding is daarin de grootste uitdaging.
Zorg er voor dat de medewerkers periodiek op de hoogte worden gesteld van de ontwikkelingen en gewenste handelswijze binnen de nieuwe richtlijnen conform de nieuwe privacywetgeving. Zolang de juiste toepassing geen gewoonte wordt, vindt er geen verandering plaats. Afhankelijk van de grootte en de aard van de organisatie kan dit een makkelijk of zwaar traject zijn.
Administratie
Richt de verzameling van data in volgens de AVG richtlijnen ‘privacy by design’ (waarborging privacy in ontwerp- en ontwikkelfase van producten en diensten) en ‘privacy by default’ (waarborging privacy door technische- en organisatorische maatregelen).
Registreer de gegevensverwerking met afkomst, deelbaarheid, doel, reden van verwerking en wettelijke grondslag conform de documentatieplicht onder de Algemene Verordening Gegevensbescherming (AVG).
Onder de documentatieplicht valt tevens een registratie van de meldplicht datalekken. Middels deze registraties kunnen relevante wijzigingen direct binnen de gekoppelde kanalen worden uitgezet, bijvoorbeeld als een klant zich beroept op het uitoefenen van zijn privacyrechten.
Privacy Impact Assessment (PIA)
De focus van de maatregelen voor risico’s verschuift van correctief naar preventief in de nieuwe privacywetgeving. De methode die hiervoor gebruikt wordt heet ‘Privacy Impact Assessment’ ofwel PIA. Een PIA stelt organisaties in staat om privacyrisico’s in kaart te brengen en maatregelen uit te zetten om deze risico’s te verkleinen of uit te sluiten. Het uitvoeren van een PIA is verplicht indien het verwerken van gegevens risico’s oplevert voor de eigenaar van de data. Lees meer over de PIA op de website van de Autoriteit Persoonsgegevens.
Rechten en plichten
Richt de organisatie in conform de AVG richtlijnen. Denk hierbij aan het aanstellen van een FG (Functionaris voor Gegevensverwerking), het beoordelen van uitbesteedde gegevensverwerking aan een zogenaamde ‘’Verwerker’’ en het bepalen van de ‘’Leidende Toezichthouder’’ indien de organisatie gevestigd is in meerdere EU lidstaten.
Onder de AVG krijgen de data eigenaren verbeterde privacy rechten, zoals het recht op inzage en het recht op correctie en verwijdering. En houd rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moeten organisaties ervoor zorgen dat de gegevens van dataeigenaren makkelijk opvraagbaar en overdraagbaar zijn.
Evalueer de manier van toestemming vragen
Evalueer de manier waarop de organisatie toestemming vraagt, krijgt en registreert. Organisaties moeten kunnen aantonen dat er geldige toestemming om persoonsgegevens te verwerken van data eigenaren is verkregen, en dat het makkelijk moet zijn om die toestemming in te trekken.
Ben je nog onbekend op het gebied van de nieuwe richtlijnen conform de privacywetgeving actief vanaf 25 mei 2018? Laat je dan door ons informeren. Wij kunnen dan samen met jou kijken wat de ISO 27001 of de NEN7510 voor je kan betekenen.