24 mei 2018

De nieuwe privacywet is ‘here to stay’

Morgen is het zover. De Wet bescherming persoonsgegevens wordt vervangen door de Europese privacywet: de ‘Algemene verordening gegevensbescherming’ (AVG). Nog geen maand geleden bleek uit onderzoek van het IDC dat minder dan de helft van de Europese mkb-bedrijven klaar was voor deze wetswijziging. Ondanks dat de wet ons in de nek hijgt, is er nog veel onduidelijkheid. Wij zetten de belangrijkste zaken op een rij.

 

Wat is de Algemene verordening gegevensbescherming nu eigenlijk?

De AVG (in het Engels: ‘General Data Protection Regulation’ (GDPR)) heeft als doel persoonsgegevens beter te beschermen en die bescherming in de hele EU gelijk te trekken. Alle organisaties die persoonsgegevens van Europese inwoners verwerken hebben onder deze wet (nog) meer verplichtingen. Waarom worden persoonsgegevens verzameld, waarvoor worden de gegevens gebruikt en hoe lang ze worden bewaard? Dat moet kristalhelder zijn. Voor de burgers betekent de wet dat ze meer zeggenschap krijgen: onder de AVG hebben ze het recht om hun opgeslagen data op te vragen, te wijzigen of te verwijderen, en dat zullen ze en masse gaan doen, zijn de voorspellingen.

 

Geldt de AVG ook voor mij?

De AVG geldt voor elk bedrijf dat persoonsgegevens opslaat gebruikt, analyseert of combineert, van de bakker tot de grootste multinational. Verstuur je een factuur, een nieuwsbrief of een offerte? Dan is de wet op jou van toepassing. Verstuur je bijvoorbeeld een nieuwsbrief? Vraag op je inschrijfformulier alleen om dat wat strikt noodzakelijk is om de nieuwsbrief te versturen: een naam en een e-mailadres. Niets meer.

 

Wat wordt verstaan onder persoonsgegevens?

Een persoonsgegeven is elk gegeven dat gaat over een geïdentificeerde of identificeerbare natuurlijke persoon. Voor de hand liggende gegevens zijn iemands NAW-gegevens. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Iemands ras, godsdienst of gezondheid zijn zogenaamde bijzondere persoonsgegevens en deze worden extra beschermd.

 

Is de AVG geen ICT-aangelegenheid?

Deze wetgeving beperkt zich zeker niet alleen tot ICT. Het gaat allereerst om de werkwijzen en de zorgvuldigheid van de totale organisatie. Een archiefkast die overdag open staat en waar elke brutale voorbijganger toegang toe heeft is ook in strijd met de AVG. Zorg dus ook dat je medewerkers zich daarvan bewust zijn. Natuurlijk speelt ICT ook een belangrijke rol.

 

Kan ICT mij helpen?

Office 365 biedt je tools die het jou gemakkelijker maken om aan de GDPR te – blijven – voldoen. Om inzicht te krijgen in de mate waarin je bedrijf voldoet aan complexe nalevingsverplichtingen zoals de GDPR, is Microsoft Compliance Manager een goed hulpmiddel. Zorg ook dat je software altijd up-to-date is. Software die niet up-to-date is, maakt je kwetsbaar voor hacks en virussen en voor je het weet liggen je zorgvuldig verzamelde gegevens op straat. Misschien is dit een mooi moment om over te stappen naar de Cloud, dan hoef je niet meer over updates na te denken. Maar vergeet vooral je hardware niet. Hoe ouder de computer, hoe kwetsbaarder. Vaak is het niet meer mogelijk om updates uit te voeren, waardoor de computers niet meer goed beveiligd zijn. En onder de nieuwe wetgeving riskeer je een fikse boete als je niet alles doet om datalekken te voorkomen. Denk er wel aan dat oude hardware – dat zijn ook oude harde schijven of USB-sticks – op de juiste manier vernietigd moet worden, anders liggen je data alsnog op straat.

 

De AVG in een notendop

In deze infographic vind je alvast de meest relevante informatie. Het legt uit op basis waarvan je persoonsgegevens mag verzamelen, het vertelt over zorgvuldigheid, verplichtingen en natuurlijk ook de rechten van de betrokkenen. Op ieder element kan worden doorgeklikt en kun je meer lezen. In het kort: zorg dat alle persoonsgegevens in je organisatie in kaart gebracht zijn, beheer de manier waarop ze worden gebruik en ontsloten, zorg voor goede security, en reageer op verzoeken over gegevens en zorg dat ze beschikbaar zijn.