GDPR: is uw bedrijf klaar voor nieuwe privacywet?
Komend voorjaar moeten alle bedrijven voldoen aan de Europese General Data Protection Regulation (GDPR), ook wel bekend als Algemene Verordening Gegevensbescherming (AVG). Wat betekent dit concreet voor uw bedrijf? Aster helpt en organiseert voor u een GDPR-voorlichtingsseminar.
De tijd tikt, de boetes zijn angstaanjagend (tot 20 miljoen euro) en het reputatierisico is groot. Maar dat is niet het belangrijkste. Het belangrijkste is dat uw organisatie vanaf 25 mei 2018 op de juiste manier met de persoonsgegevens van uw klanten en werknemers omgaat. De GDPR is van toepassing op alle organisaties met klanten en/of werknemers; het maakt daarbij geen verschil of u de gegevens intern of in de cloud buiten de EU bewaart.
Samengevat geeft de GDPR de betrokken personen meer rechten, moet uw organisatie aantoonbaar aan meer (informatie)verplichtingen voldoen en heeft de toezichthouder (Autoriteit Persoonsgegevens) meer bevoegdheden gekregen. Uw organisatie moet bijvoorbeeld kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u die beveiligt.
De GDPR heeft niet alleen betrekking op NAW-gegevens of gevoelige financiële, medische data, maar ook op bijvoorbeeld cookies en IP-adressen. Per 25 mei 2018 moeten alle organisaties aan de GDPR-regels voldoen. Organisaties die zich niet houden aan de wetgeving, riskeren boetes tot 20 miljoen euro.
Transparantie
De nieuwe privacywet vraagt het nodige van organisaties, maar de verordening heeft ook een duidelijk voordeel. Alle privacy wetgeving binnen de Europese Unie wordt hiermee gelijkgeschakeld. Niet langer hebben internationaal opererende bedrijven te maken met een lappendeken aan privacy-standaarden. De GDPR is een mooie aanleiding om beter om te gaan met de gegevens van uw klanten en werknemers.
De GDPR bepaalt dat verzamelde gegevens ‘rechtmatig, behoorlijk en transparant’ moeten worden verwerkt. Bij iedere verwerking van persoonsgegevens van klanten of werknemers moet onder andere nagedacht worden over de wettelijke grondslag, het doel van de verwerking, de opslagtermijn en moet de betrokken persoon hierover op tijd geïnformeerd worden.
Daarnaast hebben de betrokken personen (zoals klanten en werknemers) meer rechten dan voorheen. Uw organisatie moet aantoonbaar processen en beleid hebben om binnen 30 dagen na een verzoek van de betrokken persoon te voldoen aan het inzage recht, dataportabiliteit en het recht om vergeten te worden.
Ook bevat GDPR nieuwe richtlijnen over het verkrijgen van goedkeuring, bijvoorbeeld voor het gebruik van bijzondere persoonsgegevens. De betrokken persoon moet daarvoor onder andere goed worden geïnformeerd, uitdrukkelijk toestemming geven en de toestemming moet worden gelogd.
Daarnaast zijn er strengere eisen met betrekking tot datalekken in GDPR opgenomen. Organisaties zijn verplicht een proces te hebben voor het herkennen, onderzoeken en (binnen 72 uur ) melden van een datalek aan de Autoriteit Persoonsgegevens en (eventueel) de betrokkenen.
Data protection officer
Organisaties moeten een beslissing nemen of een Data Protection Officer (DPO) verplicht is, of dat een DPO gewenst is. In tegenstelling tot wat in veel artikelen valt te lezen, gelden voor het aanstellen van een functionaris géén getalsmatige criteria. De functionaris is verplicht in drie situaties, zie daarvoor artikel 37 van GDPR.
De meeste organisaties zijn verplicht om een verwerkingsregister bij te houden. Zo’n verwerkingsregister helpt om aan te tonen dat de persoonsgegevens ‘rechtmatig, behoorlijk en transparant’ worden verwerkt. Naast een verwerkingsregister moet iedere organisatie een Data Protection Impact Assessment (DPIA) uitvoeren voor verwerkingen met een hoog risico en een Incidentenregister bijhouden.
Begin nu!
Het is verleidelijk om te denken: we hebben nog een maandje of acht. Maar de wet heeft niet voor niets een aanloopperiode van twee jaar – en het grootste deel van die aanlooptijd is al achter de rug. Het is dus tijd om aan de slag te gaan.
Onze diensten en producten zijn op korte termijn GDPR-proof. Breng snel in kaart welke data u beheert en welke verwerkers uw organisatie gebruikt. Op basis hiervan kunnen wij voor u de technische kant van het verhaal in orde maken.
Bereid uzelf en uw bedrijf voor op de nieuwe wet- en regelgeving! In samenwerking met Pix |& Evi (privacysoftware & consultancy) uit Den Haag organiseert Aster op verschillende ochtenden een voorlichtingsdagdeel over GDPR. Meld u hieronder aan, de plaatsen zijn beperkt.
