25 mei 2018: Nieuwe Europese regelgeving GDPR - Bent u er klaar voor?
Op 25 mei 2018 gaat een nieuwe GDPR wet van kracht. GDPR staat voor: General Data Protection Regulation. In Nederlands: De Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet heeft direct gevolgen voor alle bedrijven en sectoren. AVG zorgt voor zeer strenge eisen en maatregelen om te voldoen aan de nieuwe privacywet. Wij geven u een overzicht van de eisen waaraan moet voldoen met daarbij een aantal handige tips.
Wat betekent GDPR voor uw organisatie?
Vanaf 25 mei 2018 gaat de nieuwe privacywetgeving van kracht. De verouderde wet bescherming persoonsgegevens zal hiermee worden vervangen. Welke maatregelen moet uw organisatie nemen om te voldoen aan de nieuwe wet?
1. Maak een register aan van alle gegevensverwerkingen binnen de organisatie
2. Omschrijf de vier W-vragen: Welke data, Waarom wordt deze opgeslagen, Waar wordt de data opgeslagen en Wie heeft toegang tot deze data?
3. Beschrijf de maatregelen die genomen zijn om deze gegevens te beschermen.
4. Beschrijf hoe intern met de gevoelige gegevens wordt omgegaan.
5. Beschrijf de stappen die genomen zullen worden bij een datalek.
Tip! Besteedt voldoende aandacht binnen uw organisatie aan bewustwording rondom het verwerken van privacygevoelige informatie. Dit is geen vereiste maar wel de belangrijkste! Hiermee voorkomt u in veel gevallen dat informatie onbewust wordt blootgesteld aan de buitenwereld
Voor een aantal organisaties wordt het verplicht om een onafhankelijke functionaris voor de gegevensbescherming aan te stellen. Deze persoon controleert binnen de organisatie of de wet goed wordt toegepast en nageleefd.
Toelichting op de vijf vereiste GDPR maatregelen
1. Register gegevensverwerkingen
Als organisatie dient u een register aan te maken waarin alle gegevensverwerkingen zijn opgenomen. Hiermee ontstaat bewustwording waar en hoe men gegevens verwerkt.
2. Welke data, waarom, waar en wie?
De nieuwe wet vereist een duidelijke omschrijving over welke persoonsgegevens de organisatie verzamelt en waarom. Alle informatie dat herleidbaar is naar een natuurlijk persoon valt onder persoonsgegevens. Denk hierbij aan namen, e-mailadressen, geboordedata, NAW gegevens en telefoonnummers. Maar ook gezondheid, religie, afkomst. Deze laatste 3 worden ook wel bijzondere persoonsgegevens genoemd.
Denk ook aan 'dataminimalisatie'. Beperk verwerking en registratie van persoonsgegevens dat nodig is voor de organisatie. Als laatste is het belangrijk om te beschrijven wie toestemming heeft tot het verwerken van de persoonsgegevens. En waarom die persoon daar toegang tot heeft.
3. Maatregelen ter bescherming van de persoonsgegevens
Verwerkersovereenkomst
Werkt uw organisatie samen met andere bedrijven? Bijvoorbeeld een netwerkbeheerder? U bent dan verplicht om een verwerkersovereenkomst op te stellen samen met deze partijen. In de verwerkersovereenkomst wordt vermeld onder welke voorwaarden het verwerken van de gegevens mag plaatsvinden en wat er moet gebeuren met de gegevens wanneer de samenwerking stopt. Meer informatie over de verwerkersovereenkomst is terug te lezen op de website van Autoriteit Persoonsgegevens.
Tip!
De meeste bedrijven maken gebruik van de diensten van bijvoorbeeld Microsoft of Google. Vraag bij deze bedrijven hun verwerkersovereenkomst op. Zij hebben deze namelijk vaak al beschikbaar.
Beveiligingsmaatregelen
Zorg voor een goede beveiliging van de data door middel van o.a. een geavanceerde firewall, managed Anti-virus, managed draadloos en bedraad netwerk en versleuteling van bedrijfsgegevens. Met Microsoft 365 kunt u uw apparaten laten beheren volgens de GDPR wetgeving. Vraag ons naar de mogelijkheden.
Gegevensbeschermingseffectbeoordeling (GEB)
Vanaf 25 mei 2018 is het verplicht om minimaal een keer per jaar een risicoanalyse uit te voeren. Hierbij worden de belangrijkste risico`s van de systemen genoteerd en welke maatregelen er zijn genomen om deze risico`s te beperken.
4. Hoe wordt er omgegaan met persoonsgegevens?
Beschrijf hoe er binnen de organisatie wordt omgegaan met privacygevoelige gegevens. Deel dit met alle medewerkers zodat ook zij bewuster worden bij het verwerken van persoonsgegevens.
Hou er rekening mee dat de oude manier van werken echt moet veranderen. De AVG vereist een nieuwe manier van denken en omgaan met gegevens. Een aantal kleine aanpassingen in het register en het privacyreglement zullen niet voldoende zijn.
Tip!
Een goed begin voor de nodige veranderingen is je regelmatig afvragen waarom je bepaalde gegevens verzamelt en of het minder kan.
5. Melden van een datalek
We sluiten af met het beschrijven hoe eventuele datalekken gemeld zullen worden. Dit ben je namelijk verplicht te doen binnen 72 uur na het datalek.