Vanaf 25 mei 2018 zijn organisaties in Nederland verplicht te voldoen aan de privacywet AVG (Algemene Verordening Gegevensbescherming). Wat betekent deze wet voor jou?
Alles wat je binnen de AVG-wet geregeld moet hebben is onder te verdelen in vier hoofdgebieden.
Je bent verplicht een aantal zaken juridisch vast te leggen en aantoonbaar te maken. Denk daarbij aan een uitgebreid overzicht van wat je als organisatie doet met persoonsgegevens maar ook aan een heldere procedure over hoe je omgaat met verzoeken van betrokkenen. Bovendien is het juridisch ook belangrijk dat je een duidelijk doel en een grondslag hebt voor de verwerking van persoonsgegevens. Daarnaast is het belangrijk dat je beschikt over geheimhoudingsverklaringen, een privacy statement en verwerkersovereenkomsten met bijvoorbeeld je boekhouder en IT-partner. Ook moet je kunnen aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking. Kortom, je moet juridisch veel regelen.
Je moet de nodige organisatorische maatregelen treffen om de verwerking van persoonsgegevens goed te beveiligen. Denk daarbij aan duidelijke procedures en werkwijzen, bijvoorbeeld op het gebied van bewaartermijnen en het inventariseren en beheersen van privacy risico’s (privacy by design, Data Protection Impact Assessments en doorgifte van persoonsgegevens naar buiten de EU). Procedures zijn ook nodig om vast te leggen (en bij te houden) welke medewerkers toegang hebben tot bepaalde gegevens. Maar denk ook aan procedures voor het testen van beveiligingsmaatregelen, regelmatige controle van de logbestanden en het opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten. Alle procedures kun je vastleggen in een privacybeleid.
Op ICT gebied moet je veel regelen, bijvoorbeeld ervoor zorgen dat je software- en virusscanners altijd up-to-date zijn en dat bepaalde systemen met persoonsgegevens alleen toegankelijk zijn via tweetrapsverificatie. Denk ook aan het pseudonimiseren van persoonsgegevens en het zorgen voor veilige back-ups om de door jouw verwerkte persoonsgegevens te beschermen tegen verlies of ransomware. Bedenk daarbij dat dit een continu proces is; je moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Welke maatregelen je precies treft en hoe je dit allemaal binnen je eigen organisatie regelt, moet beschreven zijn in een informatiebeveiligingsbeleid.
Beveiliging en bescherming van persoonsgegevens begint bij je medewerkers. Zij hebben direct toegang tot gevoelige informatie en werken dagelijks met persoonsgegevens. Ze vormen de eerste verdedigingslinie tegen mogelijke inbreuken op de privacy. Je medewerkers moeten weten wat van hen wordt verwacht en op de hoogte zijn van belangrijke eisen van de AVG en van de juridische, technische en organisatorische maatregelen die binnen jouw organisatie zijn opgesteld. Ook moeten zowel bestaande als nieuwe medewerkers regelmatig getraind worden in privacy- en beveiligingsbewustzijn. Menselijke fouten, zoals het per ongeluk versturen van gevoelige informatie naar de verkeerde ontvanger of het gebruik van zwakke wachtwoorden, kunnen leiden tot datalekken en privacy-incidenten.
Ontdek eenvoudig of jij aan de privacywet voldoet. Vraag de gratis checklist aan.
De Europese privacywet geldt al vanaf 25 mei 2018 voor alle organisaties die persoonsgegevens verwerken. Dat is dus bijna elke organisatie.
Denk aan:
– Bedrijven, groot
– Bedrijven, MKB (midden/klein)
– ZZP’ers
– (Sport)verenigingen
– Zorginstanties en -professionals
– Verenigingen van eigenaren
– Stichtingen
De wet geldt voor álle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen. Vrijwel alle ondernemers hebben te maken met dit soort privacygevoelige informatie, zoals het bijhouden van afspraken met klanten, telefoonnummers van klanten, emailadressen of personeelsinformatie. De wet maakt geen onderscheid tussen grote of kleine organisaties.
Kortom, iedereen moet aan deze wet voldoen. En omdat er actieve controle is van AP (Autoriteit Persoonsgegevens) is het slim om te zorgen dat je er aan voldoet.
Dat moet iedereen. Als je persoonsgegevens in je bezit hebt, zoals naam, adres, emailadressen van bijvoorbeeld klanten, personeel, leden, cliënten, etc. Als je dat soort gegevens opslaat, moet je aan de AVG-wet voldoen. Immers, de Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken, ongeacht of ze klein of groot zijn, nationaal of internationaal, privaat of publiek. Ook al doe je er weinig mee, dan moet je dat wel opschrijven. De wet verplicht je om aan te tonen hoe je met persoonsgegevens omgaat.
Ja. De wet maakt geen onderscheid tussen grote en kleine organisaties of veel en weinig gegevens. Bijna elke organisatie in Nederland verwerkt persoonsgegevens, bijvoorbeeld in een klantenbestand, een ledenbestand, de personeelsadministratie, een CRM-systeem of bij gebruik van cameratoezicht. In alle gevallen moet je vastleggen wat je doet (of juist niet doet) om aan de AVG-regels te voldoen.
De Autoriteit Persoonsgegevens (AP) controleert actief of organisaties zich aan de AVG houden. Dat doen ze na klachten (circa 25.000 per jaar) of via steekproeven of na datalekken (circa 24.000 per jaar). Zij kunnen ook boetes uitdelen. Boetes kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet als je je niet houdt aan deze privacywetgeving. De AP heeft meerdere boetes opgelegd voor uiteenlopende overtredingen. Enkele recente voorbeelden zijn € 475.000 voor Booking.com, € 12.000 voor een orthodontiepraktijk, € 525.000 voor een loyaltyplatform en € 15.000 voor een onderhoudsbedrijf. Opvallend is dat de laatste tijd meer kleine(re) organisaties worden gecontroleerd en beboet. Zorg dat je je AVG op orde hebt, zodat het jou niet overkomt.
Aan de AVG-wetgeving voldoen is een continu proces. Wij informeren en begeleiden je. Zodra er iets wijzigt, zullen wij het je vertellen. Je moet zelf ook regelmatig checken of alles in je AVG-Programma nog up-to-date is. Heb je nieuwe leveranciers of medewerkers? Sla je extra gegevens op? Kloppen je back-ups nog? AVG-proof blijven kan alleen als je regelmatig checkt of je alles nog op orde hebt. Klaar zijn met AVG bestaat dus sowieso niet.