banner

De wet verandert, bent u er al klaar voor?

U heeft ongetwijfeld al regelmatig berichten voorbij zien komen over de Meldplicht Datalekken, De Wet Bescherming Persoonsgegevens en wellicht ook al over de Algemene Verordening Gegevensbescherming (AVG). Dit is de nieuwe Europese wetgeving waaraan u vanaf volgend jaar moet voldoen. Maar wat houdt dit nu in? Is dit ook op toepassing voor uw bedrijf? Loopt u ook het risico op de torenhoge boetes? We leggen het in dit blog beknopt aan u uit!

Don’t tell me, but show me

Deze wet komt niet zomaar uit de lucht vallen: 25 mei 2016 is hij al in werking getreden, bijna een jaar geleden. En nu wordt verwacht dat u op dit moment al bezig bent om uw bedrijfsvoering met de AVG in overeenstemming te brengen. Vanaf 25 mei 2018 gaat men deze wet ook daadwerkelijk handhaven. Er geldt dan nog maar één privacywet in heel Europa: enerzijds bent u verplicht om datalekken te melden en anderzijds wordt verwacht dat u passende beveiligingsmaatregelen neemt om datalekken te voorkomen. De overheid hanteert hierbij het principe van ‘don’t tell me but show me’.

Wat is een datalek en wanneer moet u deze melden?

Is er sprake van inbreuk op de beveiliging van persoonsgegevens door opzet of juist per ongeluk? Dan is er sprake van een datalek. De persoonsgegevens zijn dan blootgesteld aan verlies of onrechtmatige verwerking en u moet dit binnen 72 uur melden. De Algemene Verordening Gegevensbescherming is van toepassing op alle organisaties die persoonsgegevens verwerken in het zakelijk verkeer. Dit geldt ook voor bedrijven die onderling persoonsgegevens uitwisselen wanneer daarbij sprake is van geautomatiseerde gegevensverwerking.

Waar moet u allemaal aan denken?

Bij het verwerken van persoonsgegevens bent u verplicht om een verwerkersovereenkomst op te stellen tussen de verantwoordelijke voor de persoonsgegevens en degene die de persoonsgegevens verwerkt. Denk bijvoorbeeld aan een schriftelijke overeenkomst tussen uw bedrijf en uw salarisadministratiekantoor. U dient ook zelf na te denken over de privacy-instellingen en hier naar te handelen. Implementeert u nieuwe software, zorg er direct voor dat u rekening houdt met de privacy. Stel daarnaast alle instellingen van uw website, app of dienst zo in dat de privacy van de gebruikers maximaal beschermd is. Tot slot is het belangrijk om de processen te beschrijven: hoe lang, waarom en hoe worden persoonsgegevens verwerkt? Beoordeel daarbij ook de risico’s van opslag en verwerking. U maakt op deze manier uw kwetsbaarheden inzichtelijk.

Hoe kunt u zich voorbereiden?

Het is van belang om u tijdig voor te bereiden. Stel intern een privacybeleid op, start met het uitvoeren van Privacy Impact Assessment en verbeter uw ICT-beveiliging. Denk bijvoorbeeld ook aan het opleiden van uw personeel, zodat zij bij een incident op de juiste wijze weten te handelen. U maakt op deze manier een goed begin en voorkomt vervelende boetes.

Wij hebben een speciaal team samengesteld bestaande uit Ernst van Holy, Hans de Jong en Gerrit Heinen om u op formeel en technisch gebied voor te bereiden. Dit is een on-going traject, waarbij interne audits en scans een belangrijke rol spelen. Door onze certificeringen weten wij wat er primair nodig is om uw organisatie voor te bereiden en welke vervolgstappen u daarna kunt gaan zetten.

Wilt u hier meer over weten? Neem vrijblijvend contact met ons op.

NIEUWS