Winkelmand

Geen producten in de winkelwagen.

Zo ben je optimaal voorbereid op de AVG

De Algemene Verordening Gegevensbescherming (AVG) is veelvuldig in het nieuws. Maar wist je dat ook jouw bedrijf ermee te maken krijgt? Zelfs als je denkt dat je niets met persoonsgegevens doet. Lees hier alles wat je moet weten over de AVG.

Algemene Verordening Gegevensbescherming (AVG)
Foto: Getty

Vanaf 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving. Onze Nederlandse Wet bescherming persoonsgegevens (Wbp) maakt dan definitief plaats voor de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels). De AVG heeft grote gevolgen, met name voor bedrijven die persoonsgegevens beheren en verwerken. Gaan zij daarmee verkeerd om, dan kunnen ze op fikse boetes rekenen.

Daarbij kijken ondernemers nu nog vooral naar de ‘grote’ bedrijven die vol inzetten op big data. Onbekender is dat bijna ieder bedrijf moet voldoen aan de AVG, ook de bakker om de hoek. Want onder de persoonsgegevens die beschermd moeten worden vallen ook telefoonnummers en e-mailadressen.

En hoeveel telefoonnummers van klanten hebben jij en je medewerkers in hun telefoon staan? En heb je niet ooit mailadressen van klanten verzameld om nieuwsupdates te kunnen versturen? Juist. De AVG heeft dus consequenties voor álle bedrijven die zakendoen in de EU.

Hoewel de AVG al begin vorig jaar in werking is getreden, zitten we momenteel in een tussenperiode. Tot mei 2018 wordt er niet gehandhaafd, zodat bedrijven en organisaties de mogelijkheid hebben om aan alle regels en onderdelen in de verordening te voldoen. Je hebt dus nog even tijd om je goed voor te bereiden.

De Algemene Verordening Gegevensbescherming in een notendop

Het doel van de nieuwe privacywetgeving is persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken. Tegelijkertijd krijgen burgers veel meer zeggenschap over hun data en wat daarmee gebeurt.

Zo moeten bedrijven duidelijk maken waarom ze bepaalde gegevens nodig hebben en waarvoor die worden gebruikt. Ook moeten ze burgers desgewenst inzage geven in de opgeslagen data. Burgers mogen hun toestemming intrekken, klachten indienen en gebruikmaken van het recht om vergeten te worden.

Dat alles betekent dat er behoorlijk wat werk aan de winkel is voor bedrijven die persoonsgegevens verwerken. Ze moeten hun beleid herzien en waar nodig aanscherpen. Bij de Wbp hoefde een datalek pas gemeld te worden als er sprake was van opzet of grove schuld en kon de Autoriteit Persoonsgegevens (AP) ook dan pas boetes uitdelen. Dat verandert met de AVG. De AP mag straks boetes opleggen tot 4 procent van de jaaromzet of 20 miljoen euro.

Meldplicht datalekken

Overigens geldt sinds 1 januari 2016 al de meldplicht datalekken, die voorschrijft dat bedrijven en overheden direct aan de bel moeten trekken als ze een ernstig datalek hebben. Bovendien moeten ze het datalek melden aan betrokkenen van wie persoonsgegevens zijn gelekt.

De AVG bevat een soortgelijke meldplicht. Nieuw in de verordening is het recht op dataportabiliteit, wat betrekking heeft op de overdraagbaarheid van persoonsgegevens. Oftewel, burgers hebben het recht om de persoonsgegevens te ontvangen die een organisatie van ze heeft.

Ook internationale organisaties die gegevens van Europeanen verwerken, moeten zich aan de AVG houden, zelfs als ze geen Europees kantoor hebben. Voordat ze klanten benaderen, moeten ze bovendien onderzoeken wat de impact is op de privacy.

Zo’n data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om vervolgens passende maatregelen te nemen. Tot slot moet er een functionaris gegevensbescherming (FG) worden aangesteld. Deze persoon bekleedt een onafhankelijke positie binnen de organisatie en is verantwoordelijk voor het melden van datalekken.

Voorbereiden op de nieuwe privacywetgeving

Organisaties die persoonsgegevens verwerken, moeten die ter voorbereiding op de AVG in kaart brengen en weten wat ermee gebeurt. Persoonsgegevens betreffen alle gegevens die (in)direct iets over iemand vertellen. Denk aan telefoonnummers, e-mailadressen en rekeningnummers, maar ook medische data.

Inzicht krijgen in de gegevensverwerkingen en in hoeverre die voldoen aan de wettelijke eisen, is de eerste stap in aanloop naar de AVG. Wat voor gegevens zijn het, met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard?

Bedreigingen in kaart brengen

Is daar eenmaal duidelijkheid over, dan moet bepaald worden wat er mis kan gaan. Breng middels een risicobeoordeling de bedreigingen in kaart, de kans dat de privacy van betrokkenen in het geding komt en wat daarvan de impact is. Op basis van de kans en impact bepaal je welke risico’s prioriteit hebben en in welke volgorde je ze aanpakt.

Door dat op een rijtje te hebben, maak je de juiste keuzes in het proces en kun je je makkelijker verantwoorden richting de AP. Je moet immers kunnen aantonen dat je ‘in control’ bent en de juiste maatregelen hebt genomen voor de belangrijkste risico’s.

De risicobeoordeling vormt de leidraad voor je beleid ten aanzien van (de beveiliging van) persoonsgegevens. Dat beleid bevat richtlijnen voor medewerkers om de privacy van betrokkenen te waarborgen en te voldoen aan de eisen van de AVG.

Het is slim om medewerkers al vroeg in de voorbereiding te betrekken en bewustwording te creëren over informatiebeveiliging. Laat ze een training volgen op het gebied van device- en databeveiliging en leg afspraken vast, bijvoorbeeld over toegang en rechten.

Stappenplan

Organisaties kunnen de komende tijd gebruiken om in kaart te brengen welke maatregelen getroffen moeten worden om te voldoen aan de AVG. Is iedereen op de hoogte van de nieuwe privacywetgeving en de impact daarvan op de bedrijfsvoering? Maak met een tijdsplanning inzichtelijk welke acties wanneer nodig zijn en hoeveel budget daarvoor vrijgemaakt moet worden.

Om bedrijven daarbij te helpen, heeft de AP een stappenplan (PDF) opgesteld met tips om op tijd compliant te worden. Een belangrijke tip, naast de bovengenoemde maatregelen, is de focus op privacy by design. Dat houdt in dat je al bij het ontwerp van producten en diensten rekening houdt met de privacy van de gebruiker en geen data verzamelt die niet essentieel is voor de werking ervan.

Dit artikel is onderdeel van het dossier ‘Mobile Security’ op mt.nl. Dit dossier wordt mede mogelijk gemaakt door Samsung.