Voldoet uw ICT aan de AVG?

Voldoet uw ICT aan de AVG?

16/05/2018 -

Op 25 mei 2018 treedt de nieuwe Europese privacyverordening in werking: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Alle organisaties die persoonsgegevens verwerken zijn verplicht om aan deze nieuwe privacyverordening te voldoen.

1. Verwerkingsregister

Als organisatie moet u inzichtelijk maken hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. 

2. Privacy by design & privacy by default

Bij nieuwe producten en diensten moet rekening worden gehouden met privacy by design & privacy by default. Privacy by design houdt in dat bij het ontwerpen van (nieuwe) producten en diensten privacy als uitgangspunt wordt genomen. Privacy by default betekent dat daarbij zo min mogelijk persoonsgegevens worden gevraagd en verwerkt.

3. Verwerkingsovereenkomst

Een belangrijk onderdeel van de AVG is de zogeheten verwerkingsovereenkomst. Deze overeenkomst zorgt ervoor dat de taken en verantwoordelijkheden van zowel u als ons goed en helder worden vastgelegd.

4. Informatiebeveiligingsbeleid

In de AVG staat dat u als organisatie een passend gegevensbeschermingsbeleid moet uitvoeren. Dit betekent dat u passende technische en organisatorische maatregelen moet treffen om te waarborgen en aan te kunnen tonen dat de verwerking van persoonsgegevens gebeurt in overeenstemming met de AVG.

5. Meldplicht Datalekken

Steeds vaker komt in het nieuws dat hackers persoonsgegevens hebben gestolen en online hebben gezet. Maar ook onbedoeld worden door medewerkers van organisaties persoonsgegevens gelekt. Sinds 1 januari 2016 bestaat er al een meldplicht voor datalekken. Met de invoering van de AVG zijn deze regels veranderd en uitgebreid.

Vanaf 25 mei bent u verplicht om alle datalekken te documenteren zodat dit op een later tijdstip inzichtelijk is. Daarnaast is het criterium voor de melding bij de Autoriteit Persoonsgegevens gewijzigd. Ieder datalek moet worden gemeld, tenzij het niet waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van de betrokkene. Tot slot moet een melding aan een betrokkene worden gedaan als het datalek een hoog risico voor de betrokkene inhoudt.

Conclusie – het belang van een goed verhaal

Het lastige van de AVG is dat er veel bepalingen in staan die nog niet zijn uitgekristalliseerd. Zo staat bijvoorbeeld voor de notariele branche nog niet definitief vast dat het valt onder de uitzonderingsbepaling van art. 17 lid 3 sub b AVG waarin het ‘recht op vergetelheid’ wordt geregeld en uitgezonderd. En zo zullen we er in meerdee branches nog specifieke bepalingen moeten worden bepaald. Het belangrijkste is dat u als organisatie, in welke branche u ook werkzaam bent, laat zien dat u er alles aan gedaan heeft om te voldoen aan de eisen die de AVG aan uw organisatie stelt.

Hoe heet wordt de soep dan gegeten?

De Tweede Kamer heeft een motie aangenomen die de Autoriteit Persoonsgegevens oproept de nieuwe wet voorlopig niet streng te handhaven en ook de Autoriteit Persoonsgegevens heeft al aangegeven dat zij voornemens zijn om eerst te waarschuwen voordat er een boete wordt uitgedeeld.

Betekent dat dat het spreekwoord ‘de soep wordt nooit zo heet gegeten, als zij wordt opgediend’ hier van toepassing is? Dat is maar de vraag. De kans is zeker aanwezig dat in de eerste periode na 25 mei de regels niet strikt wordt gehandhaafd. Dit betekent echter niet dat organisaties dan maar niets hoeven te doen en rustig achterover kunnen zitten. Zorg als organisatie dat u kunt laten zien dat u zich heeft ingespannen om aan de nieuwe wetgeving te voldoen, zorg dat u een goed verhaal heeft.