Artikel

Doorstaat uw organisatie de privacy-proef?

In het internettijdperk vervaagt de scheidslijn tussen privé en openbaar. Maar niet alleen vrienden en familie volgen ons makkelijker dan ooit. Weet u waar uw persoonsgegevens allemaal bewaard worden? Gerard Stroeve en Julian Vermolen, security & privacy-specialisten bij Centric, gaan in op de ontwikkelingen op het gebied van privacy en dataprotectie.

Julian Vermolen (l) en Gerard Stroeve

Waarom is privacy juist nu zo’n belangrijk onderwerp?

Gerard: “Vooropgesteld: privacy is altijd al een belangrijk goed geweest en ons recht erop is vastgelegd in de grondwet. Maar inderdaad, de laatste jaren krijgt met name de informationele privacy meer aandacht. Dat hangt direct samen met de technologische ontwikkelingen van de laatste jaren en het steeds belangrijker worden van digitale informatie in ons dagelijks leven. Het wordt steeds moelijker om grip te houden op de digitale gegevens die van en over ons worden verwerkt.” Julian: “Eenmaal op het internet is het vrijwel onmogelijk om te achterhalen waar gegevens allemaal zijn opgeslagen. Bovendien worden gegevensverzamelingen vaker ‘aan elkaar geknoopt’ om functionele of commerciële voordelen te behalen. En natuurlijk vraagt ook de populariteit van sociale media als Facebook aandacht voor privacy. De huidige wetgeving kan de vraagstukken die hieruit volgen niet goed beantwoorden. Daarom zijn er passende en eenduidige nieuwe regels nodig.”

Welke nieuwe regels zijn er?

Gerard: “Zowel binnen Nederland als op Europees niveau is er aan nieuwe wetgeving gewerkt. Sinds 1 januari 2016 is in Nederland de meldplicht datalekken van kracht, als onderdeel van de Wet bescherming persoonsgegevens. Daarnaast geldt vanaf 25 mei 2018 de zogenaamde Algemene Verordening Gegevensbescherming. Deze Europese verordening zal zonder nationale omzetting rechtsreeks en onverkort van toepassing zijn in alle Europese lidstaten.”

Wat gaat de Europese wetgeving betekenen?

Gerard: “Deze verordening gaat op veel punten verder dan de huidige Nederlandse regels. Zo vraagt zij structurele, specifieke aandacht voor privacy binnen processen waarin persoonsgegevens worden verwerkt. Privacy wordt nadrukkelijk niet meer facultatief. Daarnaast komen er forse sancties voor het niet op orde hebben van de privacy.”

Wat voor stappen kunnen organisaties zetten?

Julian: “Centric ondersteunt organisaties bij de voorbereiding op de nieuwe Europese wetgeving. Op bestuurlijk of strategisch niveau kun je bijvoorbeeld alvast een visie en een strategie formuleren. Denk na over hoe je de aandacht voor privacy borgt en het proces rondom gegevensbescherming inricht. Wie wordt verantwoordelijk voor de coördinatie van de diverse activiteiten op dit vlak?” Gerard: “Verder is het een goed om alvast een beeld te hebben van de verwerkende processen en welke persoonsgegevens daarin gebruikt worden. Daarna volgt: in hoeverre voldoen deze processen al aan de diverse componenten van de aanstaande wetgeving? Kortom: hoe goed voldoet u op dit moment al aan de regels van de nabije toekomst? Het tijdig treffen van voorbereidingen helpt namelijk om de nieuwe wetgeving soepel te implementeren. Zo doorstaat uw organisatie uiteindelijk de ‘privacy-proef’.”

Tien hoofdpunten van de Algemene Verordening Gegevensbescherming

Beleid, visie en strategie
Organisaties moeten bewust aandacht geven aan passende bescherming van persoonsgegevens. Dit vereist een heldere visie, een gedegen strategie en de inrichting van een privacy-proces.

Beginselen inzake verwerking persoonsgegevens
Het verwerken van persoonsgegevens moet aan een aantal beginselen voldoen. Zo moet de betreffende verwerking rechtmatig, behoorlijk en transparant zijn. Ook moeten de persoonsgegevens toereikend, juist, actueel, ter zake dienend en beperkt tot het noodzakelijke, zijn.

Functionaris Gegevensbeheer
Organisaties die (gevoelige) persoonsgegevens verwerken en overheidsinstanties, moeten een functionaris voor gegevensbescherming aanstellen.

Gegevensbeschermingseffectbeoordeling
Voor bepaalde verwerkingen moet de organisatie een beoordeling uitvoeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens.

Passende informatiebeveiligingsmaatregelen
Organisaties moeten de persoonsgegevens beschermen met passende technische en organisatorische beveiligingsmaatregelen. Dit betekent dat de maatregelen volgen uit een risicoanalyse, aansluiten bij de standaarden in de markt en worden geïmplementeerd conform de opvatting ‘data protection by default and design’.

Transparantie en toestemming
Organisaties moeten hun privacy-beleid in heldere, begrijpelijke taal inzichtelijk maken. Bovendien is expliciete toestemming van de betrokkenen vereist voor het verwerken van persoonsgegevens.

Recht op informatie en inzage
Betrokkenen hebben het recht om informatie te ontvangen over welke persoonsgegevens, op welke wijze en met welk doel worden verwerkt en welke functionarissen deze gegevens kunnen inzien.

Recht op rectificatie, wissing en overdraagbaarheid
Organisaties zijn verplicht persoonsgegevens aan te passen en/of volledig te wissen als de betreffende persoon daar om vraagt.

Meldplicht datalekken
Een inbreuk in verband met persoonsgegevens moet zonder onnodige vertraging en zo mogelijk binnen 72 uur aan de toezichthoudende autoriteit gemeld worden.

Versterking sancties en toezicht
Organisaties die zich niet aan de regels houden, riskeren boetes oplopend tot 20 miljoen euro of 4 procent van de wereldwijde omzet, indien dit cijfer hoger is.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren