De nieuwe privacywet
In mei 2018 gaat er een nieuwe privacywet van kracht. De AVG, Algemene Verordening Gegevensbescherming. Wat betekent dat voor jou als bedrijf?
Hoe zat het vroeger met persoonsgegevens?
In Nederland is sinds 2016 de Wbp van toepassing: de Wet bescherming persoonsgegevens.
“Deze wet geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde, of identificeerbare natuurlijke persoon”.
(Bron: Autoriteit Persoonsgegevens)
Dat betekent dat de informatie direct over iemand gaat, of naar een persoon te herleiden is. Voorbeelden zijn iemands naam of woonplaats, maar ook telefoonnummers en huisnummers zijn persoonsgegevens.
De wet regelt wat er allemaal wel en niet met de persoonsgegevens mag gebeuren, en ook wat de privacyrechten zijn als organisaties en instanties deze gegevens verwerken. De Wbp bepaalt dat een organisatie persoonsgegevens alleen mag verwerken als dat noodzakelijk is voor een bepaald doel. Ze mogen de gegevens dus niet zomaar voor een ander doel gebruiken.
Nieuwe regels voor de Wet Bescherming Persoonsgegevens
In mei 2018 gaat de AVG in. Dat staat voor de Algemene Verordening Gegevensbescherming. De Wbp is vanaf dan niet meer in werking. De AVG is een privacywet. Hij geldt in de hele EU! Hiervoor had elk land in de Europese Unie een aparte privacywetgeving, gebaseerd op een de Europese privacyrichtlijn uit 1995. De wetten zijn dus gebaseerd op een richtlijn die gemaakt is toen het internet nog in de kinderschoenen stond. Dat is inmiddels wel anders. Dankzij de AVG is de bescherming van persoonsgegevens in alle landen op dezelfde manier geregeld.
We nemen de zes belangrijkste punten met je door:
- Registratie
Registratie, registratie, registratie. Als bedrijf moet je alles documenteren. De persoonsgegevensverwerking en met welk doel je dit doet. Registreer alleen de gegevens die je écht nodig hebt. Vergeet niet te melden waar de gegevens vandaan komen en met wie je het deelt. Ook moet je aan kunnen tonen dat je geldige toestemming van de persoon hebt gekregen om de gegevens te verwerken. - Zorg voor je klant
Je klant moet alles makkelijk kunnen inzien en kunnen laten wijzigen. De klant moet op verzoek de gegevens kunnen verwijderen of het laten doorsturen naar een andere partij. Ze moeten net zo makkelijk toestemming kunnen geven als het weer intrekken. - Wees duidelijk
De privacyverklaring van je bedrijf moet alle nieuwe details van de AVG bevatten en moet in duidelijke en begrijpelijke taal zijn geschreven. - Functionaris
Als je een overheidsinstantie bent of een andere publieke organisatie dan moet je een Functionaris van Gegevensbewerking instellen. Rijksoverheid, provincies en gemeenten bijvoorbeeld, maar ook onderwijs- en zorginstellingen. Deze functionaris houdt toezicht op toepassing en naleving van de wet. - Risicopreventie
Voer van tevoren een PIA uit: en Privacy Impact Assessment. Dat is een middel om in kaart te brengen wat de privacyrisico’s van een gegevensverwerking kunnen zijn. Dit moet je verplicht van tevoren uitvoeren, het kan niet achteraf. Op basis daarvan maak je een strak en duidelijk plan om de risico’s te verkleinen. De werkgroep van Europese privacytoezichthouders heeft een lijst opgesteld met criteria waar een PIA aan moet voldoen. - Bewerkersovereenkomst
Als je een ander bedrijf jouw persoonsgegevens verwerkt ga dan na of ze aan de nieuwe vereisten voldoen. Als dat niet het geval is, pas dan tijdig de overeenkomst aan.
Ben jij al bezig met je nieuwe privacyverklaring? Begin er op tijd aan, want het kan je een enorme boete opleveren als je de wet niet naleeft. En dan bedoelen we echt enorm. Bijvoorbeeld 20 miljoen euro. Of 4% van je wereldwijde omzet. Pak het dus serieus aan!
Laat een reactie achter