Zeg je ‘persoonsgegevens’, dan zeg je al snel ‘security’. Waar worden bijvoorbeeld je gegevens opgeslagen en voor hoe lang? En wie heeft er allemaal toegang?
Om ervoor te zorgen dat er zorgvuldig met belangrijke persoonlijke data wordt omgegaan is er nu nog de Wet bescherming persoonsgegevens (Wbp). Vanaf mei 2018 zal deze worden vervangen door de AVG, de Algemene Verordening Gegevensbescherming.
Meer verplichtingen
Er verandert nogal wat. Organisaties binnen de EU die te maken hebben met persoonsgegevens krijgen meer verplichtingen opgelegd dan nu het geval is. Een belangrijk doel van de verordening is dat burgers meer controle over en inzicht in het gebruik en de opslag van hun persoonsgegevens krijgen, zoals bijvoorbeeld hun NAW-gegevens.
Makkelijker gezegd dan gedaan
Logboek bijhouden met alle verwerkingsactiviteiten
Organisaties moeten volgend jaar zelf kunnen aantonen dat zij zich aan de AVG houden. Zo moet de wijze van gegevensverwerking inzichtelijk worden gemaakt, bijvoorbeeld door te documenteren welke gegevens je als organisatie verwerkt en waarom, maar ook met wie je ze deelt. Maar dat niet alleen. Organisaties die persoonsgegevens verwerken moeten ook een logboek met alle verwerkingsactiviteiten bijhouden. En dat is makkelijker gezegd dan gedaan. Ook aan de toestemming die er nodig is om gegevens te verwerken wordt na inwerkingtreding van de AVG hogere eisen gesteld. Zo moet volgend jaar worden aangetoond dat er geldige toestemming is verkregen en het moet voor betrokkenen weer net zo makkelijk zijn om die toestemming in te trekken.
Aanstelling functionaris voor gegevensbescherming (FG)
Een andere belangrijke wijziging die de AVG meebrengt is een overzicht waarin wordt aangegeven wanneer je als organisatie wel of geen ‘Data Protection Impact Assessment’ (DPIA) moet uitvoeren. Wanneer je bijvoorbeeld publiekelijk mensen volgt door middel van cameratoezicht ben je verplicht om zo’n DPIA te volbrengen. Naast de DPIA, schrijft de wet ook voor dat bepaalde organisaties een functionaris voor gegevensbescherming (FG) moeten aanstellen. Overheidsinstanties en publieke organisaties zijn dit altijd verplicht, maar er gelden daarnaast ook specifieke regels voor andere typen organisaties.
Begin met het inrichten van een securitysysteem met goede rapportagemogelijkheden
Met het oog op de implementatie van de AVG en de hierboven genoemde – soms tamelijk ingrijpende veranderingen – is het verstandig om als organisatie nu al goed na te denken over de praktische gevolgen en gewenste acties. Een belangrijke stap is om te beginnen het inrichten van een securitysysteem met goede rapportagemogelijkheden. Dat kan helpen om eenvoudig aan controlerende instanties te laten zien dat je als organisatie compliant bent en betrokkenen ongelooflijk veel werk schelen.
Nieuwe wet- en regelgeving is een goede zaak
Ik wil overigens benadrukken dat al die veranderingen wat mij betreft een goede zaak zijn. De digitale wereld ontwikkelt zich dermate snel, dat adequate wet- en regelgeving van het grootste belang is om de veiligheid van mensen te garanderen. Gelukkig is er uitstekende technologie beschikbaar om ervoor te zorgen dat we de toepassing van die wet- en regelgeving in de praktijk ook nog vorm kunnen geven.
Jeroen van Os, business developer bij Nedap
>> Lees ook AP biedt 10-stappenplan voorbereiding nieuwe privacywet