www.CLEAR-Solutions.nl
Over ons

Nieuws


  

AVG (GDPR) in 2018

01-02-2018

De privacy wetgeving in 2018

Bereid u nu al voor op de strengere regels omtrent persoonsgegevens. Naast de al langer bestaande Wet bescherming persoonsgegevens (Wbp) is sinds januari 2016 de meldplicht datalekken van kracht. In mei 2018 zal er nog een verandering plaatsvinden waardoor de regels rondom persoonsgegevens nóg strenger worden. De AVG - Algemene verordening gegevensbescherming (ook wel GDPR - General Data Protection Regulation) wordt dan namelijk ingevoerd. De invoering van deze nieuwe wet heeft nogal wat consequenties voor bedrijven. Zorg dat u er klaar voor bent. (De AVG in het kort).

De AVG is een nieuwe Europese wet op het gebied van het verzamelen, verwerken en gebruiken van persoonsgegevens. Deze wet is bedoeld om de privacy van Europese burgers beter te beschermen. Burgers krijgen in feite het recht om zelf te bepalen wie welke gegevens van ze mogen hebben en waar deze vervolgens voor gebruikt mogen worden. Een goede zaak, maar wel met grote consequenties die u als bedrijf niet mag onderschatten.

Algemene informatie over de AVG en voorbereiding op de AVG.

De AVG brengt behoorlijke administratieve lasten met zich mee en u moet kunnen aantonen dat u aan de verplichtingen voldoet. Het is dus van groot belang dat u de volgende stap zet om compliant te worden, en te blijven. We helpen u graag bij deze overgang, door u mee te nemen in de veranderingen die de AVG met zich meebrengt, en hoe u daaraan gerelateerd de Exact software hierop kunt voorbereiden c.q. aanpassen..

Specifiek ten aanzien van Exact Globe Next en Exact Synergy Enterprise komen wij aan het begin van 2018 met een assessment om zowel uw software en instellingen nader onder de loupe te nemen maar u ook te helpen om de benodigde administratie van gegevens verder te vergemakkelijken.

 

Wat kunt u alvast doen.

 

Expliciete toestemming vereist

Straks mag u niet zomaar meer allerlei persoonsgegevens verzamelen en verwerken. U bent verplicht om per gebruiksdoel expliciet om toestemming te vragen aan de desbetreffende persoon. U mag deze data vervolgens alleen voor het omschreven doel gebruiken en dat moet u dan ook duidelijk en begrijpelijk omschrijven. Vraagt u bijvoorbeeld of u een e-mailadres mag gebruiken om een maandelijkse nieuwsbrief te versturen, dan heeft u niet automatisch toestemming om meteen ook aanbiedingen te versturen naar deze persoon. Daarnaast mag iemand zijn toestemming ook weer intrekken of kan om inzage gevraagd worden.

In specifieke situaties kan zelfs geëist worden dat u iemands gegevens volledig verwijdert, het zogenaamde ‘recht om vergeten te worden’.

Herleidbare gegevens

Het is belangrijk om te weten dat de AVG van toepassing is op alle gegevens die mogelijk tot een individuele persoon herleid kunnen worden. Denk aan een naam, IP-adres, telefoonnummer, kenteken, maar ook aan cookies en identifiers van apparaten. Als u niet aan de verplichtingen voldoet, bent u strafbaar en kunt u strafrechtelijk vervolgd worden. Een boete kan oplopen tot vier procent van uw jaaromzet of tot een bedrag van maximaal twintig miljoen euro. En dan hebben we ht nog niet over de mogelijke reputatieschade die daarmee gepaard gaat.

De wetgeving is van toepassing op alle Europese burgers, ongeacht waar hun data wordt opgeslagen. Maakt u bijvoorbeeld gebruik van een clouddienst die de data mogelijk ergens buiten Europa opslaat, of een datacenter op een ander continent, dan moet u nog steeds aantoonbaar aan de verplichtingen van de AVG voldoen.

Administratie

Behalve dat expliciete toestemming nodig is, moet u er alles aan doen om de persoonsgegevens te beschermen. De gegevens mogen natuurlijk niet verloren gaan, beschadigd raken, door ongeautoriseerde mensen worden ingezien, en ze moeten ook nog eens correct en actueel gehouden worden. Dat is een behoorlijke administratieve last. Verder mag u geen gegevens verzamelen die u niet nodig heeft voor de omschreven doeleinden en mogen privacygevoelige gegevens niet op straat komen te liggen.

Zodra de AVG van kracht is moet u kunnen aantonen dat u aan de verplichtingen voldoet. Zoals dat u expliciete toestemming heeft om bepaalde persoonsgegevens vast te leggen, maar ook dat u er alles aan doet om deze gegevens optimaal te beschermen en dat u vooraf heeft uitgezocht welke acties nodig zijn mocht er onverhoopt iets misgaan. Periodieke risicoanalyses zijn daarom nodig om per datasoort te bepalen wat de risico’s zijn en wat je eraan moet doen om ze te minimaliseren.

Gegevens in kaart brengen

Het is essentieel dat u bedrijfsbreed zorgvuldig in kaart brengt welke soorten data er allemaal verzameld, opgeslagen en verwerkt worden. Aan de hand van deze inventarisatie kun u vervolgens bepalen welke acties er uitgezet moeten worden om op tijd aan de verplichtingen van de AVG te voldoen.

Voor welke gegevens moet u bijvoorbeeld nog toestemming vragen. Is elke datasoort alleen toegankelijk door geautoriseerde afdelingen en functionarissen. Zijn er persoonsgegevens die u niet nodig heeft en dus niet mag hebben. Kan data geaggregeerd en geanonimiseerd worden zodat het niet meer onder de AVG valt. Worden gegevens niet te kort en ook niet te lang bewaard. Om welke bedrijfssystemen, apparatuur van medewerkers, datacenters en cloud diensten gaat het. Maakt u gebruik van externe partijen die namens uw bedrijf privacygevoelige gegevens verwerken.

Privacy by design en privacy by default

Ook is het belangrijk om te weten dat privacy by design verplicht wordt. Alle systemen moeten zo ontworpen zijn dat al vanaf de tekentafel gedacht wordt aan de bescherming van de privacy. Daarnaast geldt privacy by default. Dit houdt in dat als gebruikers zelf ergens privacy instellingen kunnen aanpassen deze standaard al de hoogste graad van bescherming moeten bieden. U kunt dus niet alvast een paar vakjes aanvinken om uzelf meer mogelijkheden te geven, ook niet op bijvoorbeeld een inschrijfformulier.

 

Terug naar overzicht
 

   +31 850 201 000

 

 

   

 
 Naar boven