Vanaf mei 2018 wordt privacyregelgeving op Europees niveau geregeld. Deze veranderde wetgeving brengt met zich mee dat bedrijven steeds meer verantwoordelijkheid krijgen voor de privacybescherming van haar data. Probleem is dat veel bedrijven nu niet goed weten welke risico’s zij lopen en welke maatregelen noodzakelijk zijn.
De veranderende natuur van informatietechnologie brengt naast een continue stroom aan nieuwe mogelijkheden in de cloud ook nieuwe wetgeving voort. Dat lijkt vanzelfsprekend, maar gewenste veranderingen in wetboeken laten vaak op zich wachten. Denk maar aan het omgaan met drones en intellectueel eigendomsrecht ten tijde van internetpiraterij; issues waar een zweem van onduidelijkheid rond hangt.
Voor alle Europese landen dezelfde privacywetgeving
Vanaf mei 2018 maakt de politiek op gebied van privacy een inhaalslag met de Algemene Verordening Gegevensverwerking (AVG). De AVG (zie kader onderaan artikel) geeft antwoorden op vragen die eerder onduidelijk bleven rond wat wel én niet mag en brengt het versnipperde lidstatenbeleid op één lijn binnen een Europees kader. Dus dat betekent in alle bij de EU aangesloten landen dezelfde regels en dat deze wetgeving voor ieder bedrijf gaat gelden; elke onderneming verwerkt namelijk persoonsgegevens, alleen al door simpelweg met klanten zaken te doen.
Maar wat houden deze nieuwe regels dan in? De AVG vraagt van zowel grote als kleine organisaties om aan personen te relateren informatie op een veiliger manier te vergaren, op te slaan en te gebruiken. Bedrijven met een medewerkersbestand groter dan 250 medewerkers, worden bovendien gevraagd een ‘Data Protection Officer’ aan te stellen. Voor kleinere ondernemingen geldt deze eis niet, maar zij moeten wel tot in detail vastleggen hoe persoonsgegevens worden verwerkt. Ook vragen de Europese toezichthouders van álle bedrijven een beleid te kunnen tonen van de stappen die gezet worden bij de openbaring van een datalek.
Sancties die voortbestaan organisaties bedreigen
De AVG dwingt organisaties ertoe in systemen ‘privacy by design’ toe te passen. Dit houdt onder andere in gegevens standaard versleutelen, kwetsbaarheden ogenblikkelijk patchen en toegang tot data zo secuur mogelijk afschermen. Organisaties voldoen op dit moment nog nauwelijks aan deze nieuwe eisen. Zo bleek vorig jaar zomer dat 98 procent van de cloud applicaties in gebruik bij Europese bedrijven en overheden de aankomende AVG-regels niet correct naleven; een zorgelijke situatie die vraagt om een gegronde aanpak.
Overtredingen worden streng bestraft. Wie de nieuwe AVG aan de laars lapt krijgt een flinke tik op de vingers, die vooral in de portemonnee gevoeld wordt. Denk hierbij aan boetes van maximaal 20 miljoen euro of 4 procent van de jaaromzet. Daarnaast moeten organisaties zelf een overzicht bijhouden van de persoonsgegevens die zij verwerken en op verzoek gegevens verwijderen als personen of instanties zich beroepen op ‘het recht om vergeten te worden’.
Vandaag aan de slag om morgen compliant te zijn
U heeft nog even de tijd. Besteed aankomende maanden goed om, samen met leveranciers van applicaties, diensten en infrastructuur, goed naar bestaande overeenkomsten te kijken en met hulp van specialisten te toetsen hoe goed u voldoet. Alleen door te weten waar u nu staat, kunt u daar waar nodig maatregelen treffen wat betreft vastleggen, opslaan en verwerken van gegevens. Maak ook uw medewerkers bewust van de impact van de AVG, zowel voor hen persoonlijk en voor klanten. Kortom, zorg ervoor dat u zich in de komende anderhalf jaar goed voorbereid op deze aankomende privacy wetgeving.
Kader - Opvolger van de Wbp
De eerdere Europese wet op het verwerken van persoonsgegevens en het recht op privacy bestond van 1995 tot 2016. In die periode zijn weliswaar door verschillende landen verschillende wijzigingen aangebracht in de wettekst 95/46/EG, maar de basis is hetzelfde gebleven en daardoor verouderd geraakt. In Nederland was eerder de Wet Bescherming Persoonsgegevens (Wbp) van kracht. Vlak voor de zomer van 2016 is besloten per 25 mei 2018 de Algemene Verordening Gegevensverwerking (AVG) in te laten gaan voor alle bij de Europese Unie aangesloten lidstaten.
Bron: Sigmax
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.