Per ingang van 25 mei 2018 is in heel Europa de GDPR (General Data Protection Regulation) van kracht, ter vervanging van de huidige Nederlandse Wet bescherming persoonsgegevens. Deze wet, ook wel Algemene Verordening Persoonsgegevens (AVG) genaamd, geeft inwoners van Europa het recht om bij organisaties gegevens op te vragen die over hen zijn opgeslagen en om toestemming tot gebruik hiervan in te trekken, en dus eigenlijk te verzoeken om de gegevens te vernietigen. In deze blog leggen wij uit wat deze nieuwe wet inhoudt.

Deze nieuwe privacyregels hebben niet alleen gevolgen voor de privacy van gebruikers, maar ook voor uw organisatie. Uw huidige privacybeleid moet goed worden bekeken en waar nodig aangepast worden aan de nieuwe regelgeving. Het negeren van deze nieuwe regels kan zwaar worden beboet met een maximale geldstraf van 20 miljoen euro of vier procent van de omzet. Het is dus zaak om uw privacybeleid goed onder de loep te nemen.

Afbeelding Score Utica GDPR:AVG privacy wetgeving

Veiligheid staat voorop

De invoering van de AVG zorgt ervoor dat organisaties die persoonsgegevens verwerken te maken krijgen met meer verplichtingen. Er is een sprake van een groot overlap (+/- 60%) tussen de bestaande WBP (Wet Bescherming Persoonsgegevens) en de AVG. Wanneer uw organisatie conform de WBP handelt, bent u al goed op weg. De AVG gaat alleen een stuk verder:

De term privacygegevens krijgt een ruimere definitie

De AVG legt nieuwe regels op aan alle organisaties die persoonsgegevens verwerken van Europese burgers. Dus ook bedrijven die persoonsgegevens in opdracht van anderen verwerken hebben er mee te maken. Dit zijn de partijen die het snelst stappen moeten maken. Volgens een onderzoek van IDC (2017) is slechts zes procent van de aanbieders van clouddiensten voldoende voorbereid op de nieuwe wet. Zoals hierboven genoemd is er een ruimere definitie van het begrip persoonsgegevens. Naast namen, (e-mail)adressen en telefoonnummers zijn vanaf mei 2018 ook IP-adressen, MAC-adressen en cookies “persoonsgegevens” die u als privacygevoelig moet behandelen. Als data te herleiden is naar een persoon, dan wordt dit gezien als persoonsgegevens. Een bedrijf moet dus verantwoording afleggen wat het doet met persoonsgegevens (accountability). Die verantwoording moet worden opgenomen in gebruikers- of verkoopvoorwaarden in de vorm van een privacyverklaring.

Privacyverklaring

Als organisatie bent u wettelijk verplicht om uw klanten en bezoekers duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel. Er zijn een aantal algemene gegevens die in alle privacyverklaringen voor moeten komen:

  • Identiteit. Bijvoorbeeld de bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactgegevens.

  • Doeleinden en rechtsgronden voor de verwerking. Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. U moet alle doeleinden beschrijven.

  • Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet u ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.

  • Duur van de opslag. U moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.

  • Recht op inzage, rectificatie of wissen van de persoonsgegevens. De betrokkene heeft dit recht en daarover moet u hem/haar in de privacyverklaring informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.

  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Bewaartermijn

Volgens de AVG mogen persoonsgegevens niet langer worden bewaard dan ‘strikt noodzakelijk’ is voor het doel waarvoor ze worden bewaard. Als er geen duidelijke bewaartermijn is te bepalen, dan dienen in de privacyverklaring criteria te worden vermeld die de bewaartermijn omschrijven.

De AVG maakt wel een uitzondering: gegevens voor algemeen belang of wetenschappelijk of historisch onderzoek mogen langer bewaard worden dan noodzakelijk is voor het oorspronkelijke doel van de gegevensverzameling.

Beveiligde dataopslag

De begrippen privacy by design en privacy by default worden vaak in één adem genoemd, maar hebben verschillende betekenissen. Wat de begrippen met elkaar gemeen hebben, is dat ze beide expliciet genoemd worden in de AVG.

De letterlijke vertaling van privacy by design houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. Vanaf de start van een ontwikkeling moet er rekening gehouden worden met privacyverhogende maatregelen.

Privacy by default is als het ware een onderdeel van privacy by design. Privacy by default vereist dat de standaardinstellingen altijd zo privacy-vriendelijk mogelijk moet zijn. Het is van groot belang dat persoonsgegevens op een veilige manier bewaard worden, zodat onbevoegden niet bij deze gegevens kunnen komen.

Microsoft en AVG

Microsoft biedt een groot aantal producten die zo ingericht zijn dat zij helpen te voldoen aan de AVG-regels. Zo helpt de Bitlocker in Windows 10 je om specifieke data te versleutelen en stelt Windows Information Protection u in staat de data op een hele schijf of computer te versleutelen.

Hoe kan Utica u met AVG helpen?

Utica kan u helpen met het opzetten van veilige datamanagement en u zo helpen voldoen aan de eisen die gesteld worden in de AVG. Vanuit onze kernfocus op veiligheid begeleiden wij u bij het inventariseren van risico’s en creëren we passende beheersmaatregelen, zodat u goed voorbereid bent op de invoering van de AVG. Neem vandaag nog contact met ons op, zodat wij samen met u kunnen kijken hoe wij u kunnen conformeren aan de nieuwe regelgeving.