De Algemene verordening gegevensbescherming (AVG); privacy first.

beheer

De Europese Richtlijn, genaamd General Data Protection Regulation (GDPR), is in Nederland vertaald in de Algemene Verordening Gegevensbescherming (AVG). Deze is vanaf 25 mei 2018 van kracht en heeft grote gevolgen voor alle organisaties, dus ook voor het MKB.

 

Iedere organisatie die in de EU persoonsgegevens verwerkt, moet aan deze nieuwe verordening die kracht van wet heeft voldoen. Wanneer de wet wordt overtreden, kunnen er hoge boetes worden opgelegd. Nu lijkt het verwerken van persoonsgegevens misschien niet van toepassing op uw bedrijf of organisatie maar praktisch gezien verwerkt iedere onderneming persoonsgegevens. Denk aan gegevens van uw medewerkers, sollicitanten, cliënten, patiënten, klanten, contracten met leveranciers maar ook de cookies op uw website bevatten gegevens.

Deze gegevens mogen alleen toegankelijk zijn voor personen die daartoe gerechtigd zijn.

Organisaties moeten informatie tijdig anoniem kunnen maken of kunnen vernietigen op basis van vastgestelde bewaartermijnen. Deze informatie en documenten moeten traceerbaar zijn.

Dat betekent dat de interne administratie en automatisering op orde moet zijn om dit te kunnen uitvoeren. Dat betekent ook dat er een zgn. privacy policy dient te zijn. Wat wordt hoe lang bewaard? Welke leveranciers en dienstverleners bewerken privacy gevoelige gegevens van de organisatie? Denk aan salarisadministrateur, accountant, softwareleverancier /ICT bedrijf. Daarmee moet een zgn. bewerkersovereenkomst worden gesloten.
Het niet hebben van een schriftelijke bewerkersovereenkomst is onder de AVG beboetbaar. Organisaties dienen zelf na te gaan of het verwerken van (gevoelige) persoonsgegevens op orde is en waar mogelijke risico’s bestaan tijdens de verwerking. Te denken valt aan gaten in de beveiliging van het bedrijf die een datalek tot gevolg kunnen hebben, maar bijvoorbeeld ook de manier waarop het bedrijf de gegevens verwerkt en of deze verwerking al dan niet onrechtmatig is. Elke organisatie is daarnaast verplicht zich te wapenen tegen malware en cybercriminaliteit door anti-viruspakketten en de meest moderne software te gebruiken. Windows 98 kan dus echt niet meer!

Indien er een datalek wordt geconstateerd, dan geldt er een meldplicht en kan er naast imagoschade ook een boete opgelegd worden, die kan oplopen tot 4% van de (wereldwijde) omzet met een maximum van 20 miljoen euro. Denk bij een datalek niet alleen aan hackers die inbreken in het computersysteem, maar ook het verlies van een usb stick, laptop of
I-phone met een zakelijk emailaccount en telefoonnummers vol met klantcontacten.
Ook een oude server die niet geschoond wordt weggegooid vormt een datalek. U dient voorzorgsmaatregelen te treffen dat zo’n laptop of telefoon op afstand kan worden leeggemaakt en uitsluitend versleutelde en beveiligde usb sticks worden gebruikt. Zo niet, dan bent u bij een datalek de pineut en kunnen zware boetes volgen.

Met het oog op de invoering van de AVG dienen bedrijven dus serieus hun gegevensbeveiliging op orde te brengen en in mei 2018 ‘privacy proof’ te zijn. 

Meer weten over privacywetgeving