Op 25 mei 2018 treedt de algemene verordening gegevensbescherming (AVG, in het Engels de GDPR) in werking. Er geldt dan in de hele EU één zelfde wet over het bewaren, gebruiken en beschermen van persoonsgegevens. Heeft u alle wetsartikelen al doorgenomen? Onze experts wel! Ontdek in deze blog de vijf hoofdthema’s van de AVG. Zo heeft u houvast bij de implementatie van de wet.
Samengevat is de AVG een wet “betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.” Maar zoals een echte wet betaamt, staat de verordening beschreven in een lijvig, complex document (.pdf). Zo zijn er maar liefst 173 overwegingen meegenomen om te komen tot de 99 artikelen in deze wet. Hoewel deze artikelen voor iedereen gelden, verwacht ik dat u weinig zin heeft om alle 88 pagina’s van voor tot achter door te nemen. Daarom hebben mijn collega’s en ik dat voor u gedaan. We hebben de AVG voor u doorgespit en nadrukkelijk gekeken waar de verschillende artikelen raakvlakken hebben. Wat blijkt? De kernpunten uit de verordening zijn grofweg in te delen in vijf categorieën.
1. Compliancy
Het eerste belangrijke thema van de verordening is compliancy. Artikelen die hieronder vallen, omschrijven bijvoorbeeld hoe u aantoonbaar moet maken waarom u welke gevoelige gegevens bewaart en hoe u dat doet. Zo moet u kunnen aantonen of u expliciete toestemming van de betrokkene heeft om diens gegevens te bewaren, hoe u deze gegevens beschermt en hoe lang u ze mag bewaren. Dit vraagt om overzicht en inzicht.
2. Transparantie
Vervolgens is transparantie noodzakelijk over wat u met die gegevens doet en hoe u dat doet. Ook zult u diverse rechten van de betrokkenen moeten faciliteren. Voorbeelden hiervan zijn: het recht op inzage van gegevens door betrokkenen, het recht op rectificatie en gegevenswissing en dataportabiliteit.
3. Security
Dat u gevoelige gegevens goed moet beschermen, spreekt voor zich. De verordening eist dat u hiervoor passende technische en organisatorische maatregelen neemt, gebaseerd op risicoanalyses en best practices. Ook wordt u geacht de actualiteit en effectiviteit van deze beschermende maatregelen periodiek te evalueren.
4. Governance
Onder governance verstaan we de set van structuren en processen die ervoor zorgen dat u op betrouwbare manier omgaat met gevoelige gegevens. De verordening schrijft bijvoorbeeld voor dat u voor verwerkingen met een hoog risico een gegevensbeschermingseffectbeoordeling (PIA) moet uitvoeren. Ook moet u bewerkingsovereenkomsten afsluiten met uw leveranciers en een meldingsprotocol voor datalekken inrichten.
5. Organisatie
Tot slot onderschrijft de AVG dat het veilig omgaan met gevoelige informatie staat of valt met hoe goed dit onderwerp leeft binnen uw organisatie. Daarom zult u een privacybeleid moeten opstellen dat beschrijft hoe uw organisatie aandacht geeft aan de bescherming van persoonsgegevens. Ook moet u een privacymanagementproces implementeren, zodat er actuele aandacht blijft voor compliancy, transparantie, security en governance. Om dat alles te coördineren, is het wenselijk om een functionaris gegevensbescherming aan te stellen. Voor sommige organisaties is dit zelfs verplicht.
Minder dan negen maanden te gaan
Zoals u leest, stelt de algemene verordening persoonsgegevens vanaf mei volgend jaar strenge eisen aan de verwerking van persoonsgegevens, op straffe van serieuze boetes. Met de vijf bovenstaande thema’s heeft u houvast bij wat u te doen staat om u op de AVG voor te bereiden. Binnenkort publiceren wij een uitgebreide whitepaper met de concrete actiepunten binnen de genoemde thema’s.
Let op: deze blogpost geeft geen sluitend overzicht van de volledige inhoud van de AVG
Gerard Stroeve is als Manager Security & Continuity Services verantwoordelijk voor de diensten die Centric levert op het gebied van informatiebeveiliging, privacy en continuïteitsmanagement. Vanuit zijn rol als managementadviseur heeft hij veel organisaties geholpen bij het opstellen van beleid, het analyseren van bedrijfsrisico’s en het opstellen van beveiligings- en continuïteitsplannen. Ook begeleidt hij organisaties bij de certificering voor de ISO 27001-norm.