Even een opfrisser: bent u al privacycompliant anno 2016? | AudittrailHet jaar 2016 gaat de geschiedenis in als het jaar van de privacy. Niet alleen werd de Wet bescherming persoonsgegevens aangescherpt, ook werd de Europese privacywetgeving (de Algemene Verordening Gegevensbescherming) aangenomen. Deze wijzigingen in wetgeving heeft voor veel opschudding gezorgd. Waarschijnlijk heeft u veel verschillende informatie ontvangen over de veranderingen. Maar bent u nog voldoende op de hoogte? Blijf bekend met de wijzigingen en wat er moet gebeuren binnen uw organisatie.

 

Datalekken melden

De verandering die Nederland het meest bezighoudt, is de meldplicht datalekken. Indien een organisatie data lekt, moet het dit (in veel gevallen) melden bij de Autoriteit Persoonsgegevens. Doe dit vooral, want het niet melden kan zorgen van een boete die op kan lopen tot 820.000 euro of 10% van de jaaromzet. Voor het goed melden van een datalek, is het belangrijk dat de organisatie een Procedure Meldplicht Datalekken opstelt. Deze procedure moet bekend zijn bij alle medewerkers van de organisatie. Het lek kan zich immers overal voordoen.

 

Bewerkersovereenkomst

De wetgeving verplicht organisaties sinds 2001 om bewerkersovereenkomsten aan te gaan met hun externe partijen die in opdracht van de organisatie persoonsgegevens verwerken. Het doel van de bewerkersovereenkomst is dat de bewerker het verantwoordelijk omgaan met privacy ook als zijn eigen verplichting neemt. In deze overeenkomst staan juridische regels waarvan de organisatie wil dat de bewerker zich eraan houdt. Denk hierbij ook aan het omschrijven van de soort persoonsgegevens, de doelen en beveiligingsmaatregelen die op de verwerking van toepassing zijn.

➤ Lees hier meer over welke onderdelen u in de bewerkersovereenkomst kunt plaatsen.

 

Algemene Verordening Gegevensbescherming 2018

Omdat Nederland sinds 1 januari 2016 al een aangescherpte privacywet heeft gekregen, valt het mee wat er verandert met de Europese privacywetgeving. De inhoudelijke regels over de verwerking van persoonsgegevens blijft over het algemene hetzelfde. Procesmatig wordt er meer van organisaties geëist. Hieronder staan de belangrijkste wijzigingen.

  • Er geldt een documentatieplicht. Dat houdt in dat organisaties met documenten moeten aantonen dat ze privacy aan de hand van de AVG hebben geborgd in de organisatie. Denk aan een informatiebeveiligingsbeleid en een privacybeleid.
  • Wanneer de aard, omvang, context of doeleinden van de verwerking bijzondere privacyrisico’s inhouden, is een organisatie verplicht om een privacy impact assessment (PIA) uit te voeren.
  • (1) Overheidsinstanties of -organen, (2) organisaties die belast zijn met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen of (3) organisaties die grootschalig bijzondere persoonsgegevens met strafrechtelijke informatie verwerken, moeten een functionaris voor de gegevensbescherming (FG) in dienst hebben. De FG houdt toezicht op de interne verwerking van persoonsgegevens.

De Algemene verordening Gegevensbescherming zal op 25 mei 2018 de Wet bescherming persoonsgegevens vervangen.

➤  Lees in dit artikel nog gedetailleerder wat het verschil is tussen de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming.

 

Boetes

De Wet bescherming persoonsgegevens bestaat al sinds 2001, maar pas sinds dit jaar heeft de privacy-autoriteit een boetebevoegdheid gekregen. Het niet (juist) naleven van de wetgeving kan de organisatie veel geld kosten. We spreken dan van een boete tot 820.000 euro of 10% van de jaaromzet. Met de Algemene Verordening Gegevensbescherming wordt het nog heftiger, namelijk 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

 

Word privacycompliant!

Maak de organisatie zo snel als voor uw organisatie mogelijk is privacycompliant. Het is beter voor de klanten en de medewerkers én het kan onnodige boetes besparen. Om u in de goede richting te sturen, hebben we de Privacy Thermometer gemaakt. Deze thermometer is een checklist waarin suggestieve organisatorische en technische maatregelen staan die vanuit de Wet bescherming persoonsgegevens verplicht kunnen zijn voor uw organisatie. Wanneer u deze invult, weet u waar uw organisatie staat en wat ze moet doen om privacygevoelige gegevens beter te beschermen. Om ervoor te zorgen dat u de juiste kant op gaat, controleren wij de uitkomsten en leveren we een praktisch en toepasbaar stappenplan.

 

Bron: Audittrail nieuws en Autoriteit Persoonsgegevens

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

− 2 = 1