Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), ofwel de General Data Protection Regulation (GDPR), van kracht. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) is vanaf dat moment niet meer van toepassing. De Autoriteit Persoonsgegevens is aangesteld als toezichthouder van deze Europese privacywetgeving binnen Nederland. Middels deze pagina informeert Global-e u over deze wetgeving.
Wat verandert er?
De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden versterkt. Organisaties moeten alles in het werk stellen om persoonsgegevens veilig op te slaan en veilig te verwerken. Hierbij moeten ze ook kunnen aantonen dat zij zich aan de wet houden.
Wat wordt verstaan onder ‘Persoonsgegevens’?
Alle gegevens waarmee personen, direct of indirect, identificeerbaar en traceerbaar zijn. Denk hierbij aan NAW-gegevens, geboortedata, klantnummers, rekeningnummers, telefoonnummers en e-mail adressen.
Wat wordt verstaan onder ‘verwerken’?
Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Denk hierbij aan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Bewustwording
Zorg ervoor dat iedereen binnen uw organisatie op de hoogte is van de nieuwe privacyregels. De impact van de AVG op de huidige processen, diensten en goederen dient inzichtelijk te zijn alsook welke aanpassingen nodig zijn om aan de AVG te voldoen. Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG), dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro.
Enkele highlights uit de nieuwe wetgeving
- Rechten van betrokkenen
Betrokkenen krijgen nieuwe en verbeterde privacyrechten. Het gaat hier om de volgende rechten:
- Recht op inzage
- Recht op correctie en verwijdering
- Recht op dataportabiliteit (alleen digitale gegevens) Dit derde recht is nieuw. Betrokkenen moeten hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
- Documentatieplicht (overzicht van verwerkingen)
Documenteer welke persoonsgegevens worden verwerkt, met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld.
- Privacy impact assessment (PIA)
Volgens de AVG is een organisatie verplicht om een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Hiermee dient een organisatie de privacyrisico’s van een gegevensverwerkingsproces in kaart te brengen om vervolgens (beveiligings)maatregelen te kunnen nemen om de risico’s te verkleinen.
- ‘Privacy by design’ & ‘privacy by default’
Iedere organisatie moet werken op basis van de volgende verplichte uitgangspunten:
- Privacy by design
Privacy by design betekent dat een organisatie al in de ontwerpfase van een informatiesysteem rekening houdt met privacy. Hierbij wordt in kaart gebracht welke data te koppelen is aan een persoon en welke niet, hoe lang data wordt bewaard en of data te verwijderen is (het recht om vergeten te worden).
Betrek alle afdelingen bij dit proces. Om de privacy goed in kaart te brengen moet u namelijk precies weten waar in de organisatie welke gegevens verwerkt of bewaard worden.
2. Privacy by default
Privacy by default houdt in dat een organisatie technische en organisatorische maatregelen neemt om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de organisatie wilt bereiken. Niets meer en niets minder.
- Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt echter wel strengere eisen aan de eigen registratie (documentatie) van de datalekken die zich binnen de organisatie hebben voorgedaan. Datalekken moeten binnen 72 uur gemeld worden. Meldingen aan de Autoriteit Persoonsgegevens verloopt via het Meldloket.
- Verwerkersovereenkomsten
Heeft u gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met deze verwerkers nog steeds toereikend zijn en voldoen aan de vereisten conform de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
- Toestemming
De gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan deze toestemming. Het is daarom van belang om te kijken naar de manier waarop toestemming wordt gevraagd, verkregen en wordt geregistreerd. Nieuw is dat elke organisatie moet kunnen aantonen dat ze geldige toestemming van mensen heeft gekregen om persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
De noodzaak van een veilige ICT-omgeving
Persoonsgegevens worden grotendeels met behulp van computers en achterliggende ICT-infrastructuren verwerkt. Als deze gegevens buiten de organisatie terecht komen door onzorgvuldigheid en/ of diefstal is er sprake van een datalek. Een datalek moet te allen tijde gemeld worden aan de Autoriteit Persoonsgegevens met alle gevolgen van dien. Een veilige ICT-omgeving en een strak ICT-beleid zijn dus van zeer groot belang!
Wij hopen met deze informatie bij te dragen aan een goede samenwerking conform de toepassing van deze nieuwe wetgeving binnen uw én onze organisatie. Global-e streeft continu naar hoogwaardige dienstverlening met onze kernwaarden Integrity, Security en Availability in acht genomen. Wij zijn er dan ook voor bedrijven die hun ICT doordacht aanpakken. Voor ondernemers die omarmen wat hen verder brengt. Hierdoor bent u verzekerd van ICT van wereldklasse. Gewoon in de buurt.
Heeft u specifieke vragen inzake deze nieuwe wetgeving, dan adviseren wij u contact op te nemen op met uw advocaat, juridisch adviesbureau en/of accountant. Aanvullende informatie kunt u vinden op de website van de Autoriteit Persoonsgegevens. Als u vragen heeft over de toepassing van de AVG in uw ICT-omgeving dan kunt u uiteraard contact met ons opnemen.