Europese privacywet dwingt bedrijven tot maatregelen:
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De wet geeft burgers meer controle over hun persoonlijke gegevens en zorgt ervoor dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. Op lange termijn betekent deze wetswijziging dat het voor organisaties die in meerdere Europese landen actief zijn, makkelijker wordt om zich aan de wettelijke eisen te houden. Op korte termijn brengt de nieuwe wet ingrijpende veranderingen voor de bedrijfsvoering, de informatiehuishouding en de IT-systemen met zich mee. En actie is geboden voor bedrijven en instellingen.
Actie is geboden
Er liggen namelijk miljoenenboetes te wachten op organisaties die hun bedrijfsvoering niet op korte termijn aanpassen aan de nieuwe Europese wet voor privacy en databescherming, de Algemene Verordening Gegevensbescherming. Volgens DDMA is het van levensbelang dat bedrijven nu in actie komen. “De tijd van praten en oriënteren is voorbij”, zegt Diana Jansen, directeur van de brancheorganisatie voor data en marketing.
Miljoenboetes
Meerdere onderzoeken laten zien dat een groot deel van de bedrijven nog geen voorbereidingen heeft getroffen, zowel binnen als buiten Nederland. Daarmee lopen zij risico op boetes tot 20 miljoen euro of vier procent van de wereldwijde omzet. “Elke organisatie die persoonsgegevens verwerkt moet nu aan de slag”, aldus Janssen. “Voor grote, internationale bedrijven is de situatie extra urgent: zij zijn actief in meerdere landen, werken met verschillende bureaus samen en hebben een complexe data-omgeving. Het kost simpelweg veel tijd om ervoor te zorgen dat alles in lijn is met de nieuwe wetgeving. Bovendien zijn de financiële consequenties voor hen groter én liggen zij onder het vergrootglas van de Autoriteit Persoonsgegevens. Nu voorbereiden is dus cruciaal.”
Voorlichtingstraject
De brancheorganisatie start met een uitgebreid voorlichtingstraject om haar 275 leden nog dit jaar klaar te stomen voor de extra verplichtingen die de AVG met zich mee brengt. Daarnaast nodigt de brancheorganisatie vanaf september alle haar leden uit voor de vernieuwde audit van het de ‘Privacy Waarborg’. Door het doorlopen van deze audit kunnen organisaties inzicht krijgen of ze ‘AVG-proof’ zijn. Aan dit keurmerk kunnen burgers vervolgens zien of een bedrijf voldoet aan de nieuwe wet en dus zorgvuldig met hun gegevens omgaat.
Vanaf mei 2018 treedt de nieuwe Europese privacywetging, de Algemene Verordening Gegevensbescherming (AVG), in werking. Deze AVG, internationaal General Data Protection Regulation (GDPR) genaamd, is op gebied van privacywetgeving de grootste verandering aan de Europese privacy-regulering in 20 jaar. 2018 lijkt ver weg, maar deze aankomende wetswijziging zou bij alle CIO’s, directeuren en ondernemers nu op de agenda moeten staan. De GDPR heeft namelijk ingrijpende gevolgen voor het informatiebeleid en -management van zowel grote als kleine organisaties. In dit artikel leest u welke stappen u als organisatie kunt ondernemen, voordat het te laat is.
Nieuwe wet: van DPD naar GDPR
De EU wil haar burgers de macht over hun eigen persoonlijke data teruggegeven. Daarvoor wordt de bejaarde wet Data Protection Directive 95/46/EC (DPD) vervangen door GDPR. Het doel hierbij is het vereenvoudigen en overeenstemmen van de verschillende privacywetgevingen in de EU-lidstaten. Doordat DPD niet echt een regulering was, maar meer een directief, is er een rommelig lapwerk ontstaan aan privacystandaarden. Een duidelijke lijn ontbrak en de handhaving was ook ver te zoeken.
Dat de GDPR geen tandeloze wet is zoals DPD, blijkt wel uit de enorme boetes die hangen aan het niet naleven van deze wet. Exacte bedragen kondigt de Autoriteit Persoonsgegevens later aan, maar er valt al rekening te houden met bedragen tussen de 250.000 en de 100 miljoen euro. De verwachting is ook dat er omzet gerelateerde boetes komen die twee tot vier procent van de omzet kunnen bedragen. Niet iets om over het hoofd te zien dus.
Voor wie
Belangrijk zijn de volgende twee termen in de wet, namelijk ‘data controllers’ en ‘data processors’. Data controllers zijn personen, bedrijven of instellingen die in het bezit zijn van persoonsgegevens. De wet gaat niet alleen over het bezit van persoonsgegevens, maar ook over de verwerking. Personen, bedrijven of instellingen die slechts ‘werken met de gegevens’, worden data processors genoemd. Ook zij moeten voldoen aan de eisen.
Terwijl het een EU-regulering betreft, kan iedere organisatie op de wereld te maken krijgen met GDPR. De regulering geldt namelijk voor iedere organisatie die werkt met persoonlijk data van iemand uit de Europese Unie. Is uw organisatie in de Verenigde Staten gevestigd, maar u heeft klanten die Nederlander zijn, dan valt u wel degelijk onder deze wetgeving.
De regulering wordt ‘pas’ van kracht op 25 mei, 2018, maar het is voor organisaties van wezenlijk belang nu proactief stappen te ondernemen. Organisaties die dat niet doen lopen kans om flink in de buidel te moeten tasten.
Aantonen en verslaglegging van naleving
Een belangrijk aspect van de GDPR-naleving is dat organisaties snel en eenvoudig moeten kunnen aantonen dat zij stappen hebben ondernomen om aan de GDPR-voorwaarden te voldoen. Organisaties moeten deze informatie en ondersteunende documentatie direct kunnen overhandigen aan toezichthouders wanneer daarom gevraagd wordt. Dit betekent dat organisaties inzicht moeten kunnen geven in:
- Wat voor informatie zij opslaan (of verwerken);
- Van (over) wie deze informatie is;
- Waar zij dit opslaan;
- Hoe dit beveiligd is.
De meeste organisaties zijn hier niet toe in staat. Sterker nog, veel organisaties weten niet eens welke informatie zij bezitten. En weten zij dat wel, dan is het vaak een raadsel waar dit staat opgeslagen. Op deze manier ontstaat vaak dark data. Dit is veelal het gevolg van het ontbreken van een centrale informatiestrategie, met bijbehorende tools en aangewezen verantwoordelijkheden.
bron: docu management systeem
Voor de AVG personen data: breng alle HR gegevens van je personeel in kaart, AVG audit-tool;
download direct dan naar deze site: AVG audit tool downloaden
.