Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking voor de gehele EU. Deze wet heet de Algemene Verordening Gegevensbescherming (AVG).
Met de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. Daarnaast krijgen klanten en medewerkers meer rechten. U dient als organisatie meer dan ooit aan te tonen dat u data veilig opslaat. Organisaties die zich niet aan de AVG houden riskeren bij een datalek een straf van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.
Vanuit Aranea beschouwen wij privacy als een investering in uw dienstverlening. U investeert dag in dag uit in uw dienstverlening, klantreis en reputatie. Maar al deze zaken komen op straat te liggen wanneer u niet bewust met privacy omgaat. Bouwen aan privacy is bouwen aan een duurzame reputatie. Veel organisaties ervaren echter complexiteit bij de nieuwe privacywetgeving. We helpen u graag aan meer overzicht:
1. Creëer bewustzijn
De eerste tip is het bewust maken van het personeel dat met de nieuwe wet te maken krijgt. Zij kunnen waardevolle input leveren bij het inventariseren van risico’s en bij het benoemen en uitwerken van actiepunten die nodig zijn. De implementatie van de AVG vraagt namelijk veel van uw menskracht en middelen. Transparantie over de activiteiten is een sleutelelement. Borg de wetgeving in de bedrijfsprocessen én het bewustzijn, verzorg maatwerk workshops en communiceer actief binnen en buiten de organisatie over de AVG.
2. Respecteer informatie
Onder de AVG krijgen mensen van wie uw organisatie persoonsgegevens verwerkt meer rechten. Denk aan bestaande rechten (recht op inzage en recht op correctie en verwijdering), maar ook aan nieuwe rechten, zoals dataportabiliteit. Klanten en medewerkers moeten eenvoudig kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie. Vraag en gebruik alleen de informatie van klanten en medewerkers die strikt noodzakelijk is.
3. Toon overzicht
Maak een overzicht van alle verwerkte persoonsgegevens. Noteer waar u data vandaan hebt, met welk doel u data opslaat en met wie u het deelt. Zorg dat ook wordt vermeld op basis van welke wettelijke grondslag u deze gegevens verwerkt. Kortom, breng de totale gegevensverwerkingen in de organisatie in kaart. Door in de basis deze datahuishouding zorgvuldig in beeld te brengen, heeft u hier later veel profijt van.
4. Doe een PIA
Voer een Privacy Impact Assessment (PIA) uit wanneer data wordt verwerkt met een hoog privacyrisico. Uit onze klantenkring blijkt dat een PIA een goede eerste stap is op weg naar de AVG. Het stelt u in staat om een actielijst op te stellen rondom 5 cruciale gebieden; van beleid, governance en processen tot bewustzijn en opslag & beheer. Met de PIA weet u snel vanuit een integraal totaalperspectief wat u te doen staat.
5. Innoveer veilig
De volgende twee principes zijn sleutelelementen binnen de AVG. Privacy by Design houdt in dat u al in de ontwerpfase van producten en diensten (zoals informatiesystemen) zorgt dat de privacy van klanten gewaarborgd wordt. Dit is een integrale manier van ontwerpen die het verschil kan maken in uw service-, dienst- en productinnovatie, simpelweg omdat privacy steeds belangrijker en betekenisvoller wordt. Privacy by Default betekent dat u technische en organisatorische maatregelen neemt waardoor u alléén strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
6. Benoem een FG
Het is belangrijk om direct vanaf de start een Functionaris Gegevensbescherming (FG) aan te stellen. De aanstelling van een FG is verplicht voor organisaties die veel persoonsgegevens verwerken, zoals gemeenten. Dit geldt ook voor (innovatieve) ondernemingen die op grote schaal persoonsgegevens verwerken. De FG legt totale focus op privacy en stelt beleid op rondom datalekken. Wacht niet te lang met werven; de FG heeft de knowhow en tactiek om de AVG duurzaam aan te pakken.
7. Documenteer datalekken
De meldplicht datalekken blijft gewoon, echter de AVG stelt strengere eisen aan de registratie van datalekken. U wilt dit uiteraard voorkomen, maar bij een datalek is registratie cruciaal. Alle datalekken dienen gedocumenteerd te worden op een manier waarop de Authoriteit Persoonsgegevens precies kan zien of u voldoende hebt gedaan om gegevens te beschermen. Maak het de AP eenvoudig en bereid u voor op de juiste wijze van documenteren.
8. Registreer uw overeenkomsten
Is de gegevensverwerking van de organisatie uitbesteed aan een bewerker ofwel verwerker? Kijk dan of de overeengekomen maatregelen in bestaande contracten voldoen aan de vereisten in de AVG. Vaak zijn de maatregelen die eerder zijn overeengekomen om de privacy te borgen niet genoeg voor de AVG. Wees hier scherp op! Zo niet, breng tijdig noodzakelijke wijzigingen aan.
9. Ken uw toezichthouder
Bent u internationaal actief? Als u in meerdere landen in de EU gevestigd bent, dan heeft uw organisatie onder de AVG nog maar met één privacytoezichthouder te maken. Deze leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. Kijk hierbij goed naar de voordelen die te halen zijn uit de onestopshop-regel en breng tijdig in beeld wie uw leidende toezichthouder is.
10. Hou het wendbaar
De AVG legt strengere regels op omtrent de manier waarop u toestemming vraagt, krijgt en registreert. Uw klanten moeten toestemming geven en deze eenvoudig weer kunnen intrekken. Ook dient uw organisatie snel te kunnen bewijzen dat zij geldige toestemming heeft gekregen. Dit dient een wendbaar proces te zijn, waarbij het gebruiksgemak van de klant voorop staat. Controleer formulieren en informatiesystemen goed en pas ze zo nodig aan.
Mooie reis gewenst!
Een zorgvuldig ingeregeld privacybeleid is cruciaal op weg naar een informatieveilige organisatie met een positieve reputatie. Wij wensen u een mooie reis op weg naar de AVG en bij vragen staan we klaar om met u mee te denken.
