Europa laat haar tanden zien: privacywetgeving aangenomen

In Europa wordt al vier jaar gewerkt aan een privacy verordening. Met een gezamenlijke norm voor alle EU lidstaten voor de bescherming van persoonsgegevens wordt bijvoorbeeld de uitwisseling van persoonsgegevens over landsgrenzen heen gereguleerd naar dezelfde standaarden binnen de EU. Op 27 april 2016 is de General Data Protection Regulation (GDPR) aangenomen door het Europese parlement. Een verordening heeft het kenmerk dat het direct geldig is in alle lidstaten, waarbij de verordening boven de nationale wetgeving staat in geval van strijdigheid. Hieronder leest u wat dit voor burgers en organisaties betekent.

Wetgeving in Nederland versus Europa

Nederland kent op dit moment al een vrij strenge wet voor bescherming van persoonsgegevens, de Wbp (Wet bescherming persoonsgegevens). De GDPR komt boven de nationale wetgeving te staan en alle organisaties die te maken hebben met persoonsgegevens moeten hieraan gaan voldoen. Daarom is de GDPR vertaald naar het Nederlands: de Algemene Verordening Gegevensbescherming (AVG). Dat neemt niet weg dat de Wbp in aangepaste vorm waarschijnlijk ook nog blijft bestaan, aangezien deze op sommige punten strenger is dan de AVG. Op 25 mei 2016 zal de AVG van kracht worden met een overgangstermijn van twee jaar. Dit betekent dat de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens, CBP) vanaf 25 mei 2018 zal gaan controleren op naleving van de AVG en eventueel boetes zal opleggen in lijn met de huidige boeteregeling in de wet meldplicht datalekken. De komende twee jaar moeten organisaties veel werk verrichten om aan de nieuwe AVG te voldoen.

Veranderingen: wat betekent dat voor u?

Bescherming van persoonsgegevens en privacy van klanten, medewerkers, cliënten en patiënten is een verantwoordelijkheid van de gehele organisatie. Niet alleen de ICT afdeling, maar juist de organisatorische en beleidsmatige kant van privacy wordt veel zwaarder met de AVG. Dit komt doordat de volgende rechten van betrokkenen zwaarder worden:

• Transparantie en communicatie.
• (ondubbelzinnige) Toestemming verkrijgen van de betrokkene. Ondubbelzinnig betekent dat een vage afspraak niet voldoende is, de organisatie moet toestemming kunnen aantonen.
• Het recht van vernietiging van informatie.
• Het recht van bezwaar, vooral tegen profiling. Profiling is het automatisch samenstellen van een profiel van een persoon, bijvoorbeeld op basis van de websites die hij bezoekt op internet.
•  Recht op vergoeding en aansprakelijkheidsstelling.

Voor organisaties betekent dit een aantal extra verplichtingen, zoals:

• Het digitaal overdragen van persoonsgegevens aan een andere partij, bijvoorbeeld een leverancier of concurrent. De digitale overdracht moet beveiligd zijn.
• Het hebben van een gegevensbeschermingsbeleid.
• Verantwoordelijkheid voor de keten van bewerkers.
• Het aanleggen van een register van verwerkingsactiviteiten.
• Documentatie van alle datalekken.
• Uitvoering van een ‘Gegevensbeschermingseffectbeoordeling’, beter bekend als de Privacy Impact Assessment (PIA).
• Voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
• Een substantieel hogere boete bij overtreding (tot €20 mln of 4% van de jaaromzet).

Kortom: als persoon (betrokkene) krijg je meer zeggenschap en inzicht in je persoonsgegevens en de organisaties die dit verwerken. Als organisatie ben je verplicht om werkelijk alles wat je doet met persoonsgegevens te documenteren en daarover actief te communiceren naar je betrokkenen (klanten, medewerkers, patiënten, et cetera). Dit betekent dat bescherming van persoonsgegevens ingebed dient te worden in de gehele bedrijfsvoering, zowel in het lijnmanagement als in beleids- en ICT-afdelingen, maar bovenal de medewerkers die omgaan met persoonsgegevens. En laat dit nu net het doel van de invoering van de AVG zijn.

Tweejarenplan, je hebt de tijd nodig

Als organisatie is het van belang om een plan van aanpak op te stellen om over twee jaar te voldoen aan de AVG. Hierbij zou Strict je het volgende stappenplan aanraden:

1. Breng in kaart welke persoonsgegevens de organisatie verwerkt. Hierbij zijn de basisvragen ‘hoe, wat, waar, wanneer en waarom?’ van belang.

2. Bepaal waar je staat ten opzichte van de huidige wetgeving: in hoeverre voldoe je hier al aan? Naast de Wbp kunnen voor andere sectoren aanvullende eisen in andere wetten staan, zoals in de gezondheidszorg.

3. Breng in kaart wat er intern aan privacybeleid beschikbaar is en hoe medewerkers omgaan met privacy. Hoe gaat de organisatie om met persoonsgegevens? Zijn uw medewerkers zich ervan bewust dat persoonsgegevens met speciale aandacht behandeld moeten worden?

4. Breng in kaart welke leveranciers persoonsgegevens verwerken onder verantwoordelijkheid van je eigen organisatie. Dit zijn de genoemde bewerkers. Dit punt is van belang voor contractmanagement en later voor het uitvoeren van audits bij bewerkers.

Onderschat de AVG niet, het kost meer tijd dan u denkt om de bovenstaande stappen uit te voeren en inzicht te krijgen in de huidige stand van zaken. Daarna komt de volgende stap: het inbedden van privacy in de bedrijfsvoering middels procedures, beleid en richtlijnen, maar ook middels bewustwordingscampagnes en inrichting van IT systemen. Gelukkig hebben we hier twee jaar de tijd voor, maar dan moet u wel nu beginnen. Strict kan u hierbij helpen, bijvoorbeeld met de Privacy Scan. Vragen? Reageer dan hieronder!