Privacycampagne voor de komst van de AVG

Autoriteit Persoonsgegevens start privacy-campagne rond AVG

FERM
- 2 February 2018

8o procent van de Nederlandse bedrijven en overheden is nog niet klaar voor de AVG, zo blijkt uit de Nationale Privacy Benchmark. 60 procent weet zelfs niet waar de gegevens van burgers of klanten opgeslagen zijn.

AVG 2018

Dat is reden voor alarm, want de Algemene Verordening Gegevensbescherming of AVG is op 25 mei 2018 al van kracht. Vanaf die datum wordt privacy vanuit de EU gereguleerd. Nieuwe regels en een versteviging van bestaande wetgevingen zorgen ervoor dat de verantwoordelijkheden van organisaties toenemen. De boetes bij het niet volgen van privacywetgeving zijn onder de Wet bescherming persoonsgegevens (Wbp) al niet mals, maar vanuit de EU kan de Autoriteit Persoonsgegevens sancties van maar liefst 20 miljoen euro of 4 procent van de wereldwijde omzet opleggen. Dat betekent dat het kennisniveau van alle medewerkers omhoog moet.

Hoog tijd om in te grijpen dus, vindt ook de Autoriteit Persoonsgegevens (AP). Daarom werd deze week een campagne gestart, 'Privacy gaat iedereen wat aan', afgetrapt door voorzitter Aleid Wolfsen met een privacyles op een basisschool in Nootdorp. Informatiebeveiliging begint immers bij informatiebewustzijn. Bij een wijziging van of aanvulling op wetgevingen is dat niet anders. Security awareness is de basis voor betere informatiebeveiliging, en het juiste niveau is de verantwoordelijkheid van de gehele organisatie – niet alleen het probleem van de IT-afdeling. Daar kun je niet vroeg genoeg mee beginnen, maar dat wil niet zeggen dat de campagne enkel op scholieren is gericht. Integendeel, de AP kan jouw organisatie namelijk op weg helpen.

Privacy-campagne AP

De campagne 'Privacy gaat iedereen wat aan' is niet alleen een informatieve mediacampagne, maar biedt organisaties concrete hulpmiddelen bij het naleven van de nieuwe wetgeving. Daarnaast maakt het mensen bewuster van hun privacyrechten. Zo vind je op hulpbijprivacy.nl alle rechten en plichten bij elkaar.

Er is veel aandacht voor het 'waarom' van de wetgeving, om een helder inzicht te krijgen in de implicaties van de nieuwe regels. Ook biedt de website een digitale ‘regelhulp’ zodat organisaties kunnen zien welke stappen ze (nog) moeten zetten en vind je er dossiers, lesmateriaal en privacypakketten. Wellicht het meest interessant is een 10-stappenplan om de organisatie tijdig en compleet voor te bereiden op 25 mei 2018 (PDF). Onderstaand vind je er alvast drie.

Zorg er daarom voor dat de relevante mensen in de organisatie, in ieder geval zeker het management en de beleidsmakers, op de hoogte zijn van de nieuwe regels. De invloed van de overstap op de AVG moet beoordeeld worden om de juiste maatregelen te kunnen nemen. Afhankelijk van de organisatie en het businessmodel kan dat een aardige inspanning vereisen, dus wacht niet langer.

3 tips richting de AVG

 

1. Zorg dat de administratie op orde is
Ondernemingen en organisaties die persoonsgegevens verwerken, hebben onder de AVG een documentatieplicht. Je moet aan kunnen tonen dat er volgens de regels van de AVG wordt gewerkt. Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. De documentatieplicht en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

De documentatieplicht heeft ook betrekking op de bestaande meldplicht voor datalekken. Die meldplicht is in grote lijnen hetzelfde als de huidige wetgeving waar de Autoriteit Persoonsgegevens op toeziet, maar de AVG stelt strengere eisen aan de registratie van datalekken binnen een organisatie: deze moeten volledig gedocumenteerd worden, zodat de meldplicht gecontroleerd kan worden.

2. Verdiep je in de Privacy Impact Assessment (PIA)
Nieuw ten opzichte van de huidige wetgeving is een preventief instrument om risico’s in kaart te brengen: een Privacy Impact Assessment. Onder deze PIA ben je verplicht om privacyrisico’s van gegevensverwerking vooraf in kaart te brengen, en indien nodig te handelen om die risico’s te verkleinen. Het is daarom slim om alvast een plan van aanpak op te stellen voor bestaande processen met een hoog risico. Lees meer over de PIA op de website van de Autoriteit Persoonsgegevens.

3. Stel een Functionaris voor de gegevensbescherming (FG) aan
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat geldt ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat ook bijvoorbeeld zorg- en onderwijsinstellingen. Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven. Tot slot maakt verwerking van bijzondere persoonsgegevens het organisaties verplicht om een functionaris gegevensbescherming te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden. Bepaal daarom nu alvast of dit van toepassing is, en stelt de werving van selectie van de functionaris niet te lang uit. Je leest er hier meer over.

Test kosteloos het bewustzijn over informatiebeveiliging binnen jouw organisatie met de awareness scan