De algemene verordening gegevensbescherming komt eraan!

25 mei 2018 gaat de Algemene verordening gegevensbescherming van kracht. Dit betekent voor bedrijven dat zij anders moeten omgaan met het verzamelen en verwerken van gegevens. De wetgeving is bedoeld om bedrijven te dwingen inzicht te creeren in het verzamelen van gegevens  en bewuster om te gaan met gegevens van individuen.

Het is belangrijk te analyseren wat voor gegevens het bedrijf verzameld, op welke manier en waarom het bedrijf dit doet. De verwerkingen dienen beschreven te worden in een overzicht die voldoet aan een aantal punten. Dit overzicht is voor intern gebruik en voor een eventuele controle van de Autoriteit Persoonsgegevens.

Als de verzameling en verwerking van gegevens inzichtelijk is gemaakt moet er gekeken worden naar de vernieuwde rechten van de betrokkenen waarvan de gegevens verzameld worden. Deze rechten benadrukken het eigenaarsschap en geven individuen onder andere de mogelijkheid gegevens op te vragen, te laten verwijderen en over te dragen naar derden.

Wanneer het bedrijf op grote schaal gegevens verwerkt of als gegevensverwerking onder de kerntaken van het bedrijf valt, kan het nodig zijn een Functionaris Gegevensbescherming aan te stellen. Deze functionaris gaat niet alleen over de invoering van de AVG maar zal ook daarna het verzamelen en verwerken van gegevens in de gaten houden. Daarnaast is het mogelijk dat er voor sommige specifieke verwerkingen een DPIA uitgevoerd moet worden. Deze analyse geeft inzicht in de betreffende verwerking en voorkomt onterecht gebruik van gegevens.

Standaardisatie van privacy en beveiliging is absoluut nodig om deze wetgeving in te voeren. Implementeer een standaard structuur voor opslag, toegang en beveiliging van gegevens. Geef bijvoorbeeld niet iedereen toegang tot alle mappen en bestanden. Denk na over beveiliging tegen cyberaanvallen en diefstal van gegevens. Zorg dat wachtwoorden lang genoeg zijn, regelmatig vernieuwd worden en maak eventueel gebruik van 2 factoren authorisatie.

Ondanks vernieuwde beveiliging zijn er soms nog lekken waardoor er gegevens naar buitenkomen. Ten opzichte van de Wet bescherming persoonsgegevens verandert er niet veel aan de meldplicht voor datalekken. Wel zijn bedrijven vanaf 25 mei verplicht elk datalek bij te houden voor eigen administratie ook al hoeft deze niet gemeld te worden aan de Autoriteit Persoonsgegevens.

Het komt soms voor dat bedrijven gegevensverwerking door derden laten doen. Binnen de nieuwe wetgeving is dit nog steeds mogelijk, alleen zitten er andere voorwaaren aan. Voor deze samenwerking moet er een overeenkomst komen die beschrijft wie verantwoordelijke is voor de gegevens, wie de gegevens mag verwerken, wie toegang heeft maar ook dat de verwerker zelf voldoet aan de AVG en maatregelen heeft genomen voor aangescherpte beveiliging. Deze overeenkomst verzekerd bedrijven maar ook de betrokken individuen dat er te allen rechtmatig word omgegaan met de gegevens.

Voor meer informatie of vragen over de AVG (GDPR) kunt kijken bij https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving

Of u kunt contact op nemen met één van onze medewerkers via info@infactor.nl