Actueel

04 mei 2017

Privacywetgeving: 4 adviezen richting de Algemene verordening gegevensbescherming (AVG) in 2018

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) ingevoerd. Vanaf dat moment is privacywetgeving vanuit de EU bepaald. Nieuwe regels en een versteviging van bestaande richtlijnen maken dat de verantwoordelijkheden van organisaties ook toenemen. Daarom 4 adviezen om je in de komende twaalf maanden alvast voor te bereiden.

1. Start met Awareness

Informatiebeveiliging begint bij informatiebewustzijn, awareness. Bij een wijziging van of aanvulling op wetgevingen is dat niet anders. Security awareness is de basis voor betere informatiebeveiliging, en het juiste niveau de verantwoordelijkheid van de gehele organisatie – niet alleen het probleem van de IT-afdeling. De boetes bij het niet volgen van privacywetgeving zijn onder de Wet bescherming persoonsgegevens (Wbp) al niet mals, maar vanuit de EU kan de Autoriteit Persoonsgegevens sancties van maar liefst 20 miljoen euro of 4 procent van de wereldwijde omzet opleggen.

Zorg er daarom voor dat de relevante mensen in de organisatie, in ieder geval zeker het management en de beleidsmakers, op de hoogte zijn van de nieuwe privacywetgeving. De invloed van de overstap op de AVG moet beoordeeld worden om de juiste maatregelen te kunnen nemen. Afhankelijk van de organisatie en het businessmodel kan dat een aardige inspanning vereisen, dus wacht niet te lang. De Autoriteit Persoonsgegevens (AP) kan je op weg helpen.

Lees meer over awareness en informatiebewustzijn.

2. Zorg dat de administratie op orde is

Ondernemingen en organisaties die persoonsgegevens verwerken, hebben onder de AVG een documentatieplicht. Je moet aan kunnen tonen dat er volgens de regels van de AVG wordt gewerkt. Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. En let op! Dit geldt ook voor andere bedrijven die uw gegevens verwerken zoals een extern salarisadministratie bedrijf of een cloud dienst.

De documentatieplicht heeft ook betrekking op de bestaande meldplicht voor datalekken. Die meldplicht is in grote lijnen hetzelfde als de huidige wetgeving waar de Autoriteit Persoonsgegevens op toeziet, maar de AVG stelt strengere eisen aan de registratie van datalekken binnen een organisatie: deze moeten volledig gedocumenteerd worden, zodat de meldplicht gecontroleerd kan worden.

3. Verdiep je in de Privacy Impact Assessment (PIA)

Nieuw ten opzichte van de huidige wetgeving is een preventief instrument om risico’s in kaart te brengen: een Privacy Impact Assessment. Onder deze PIA ben je verplicht om privacyrisico’s van gegevensverwerking vooraf in kaart te brengen, en indien nodig te handelen om die risico’s te verkleinen. Het is daarom slim om alvast een plan van aanpak op te stellen voor bestaande processen met een hoog risico. Lees meer over de PIA op de website van de Autoriteit Persoonsgegevens.

4. Stel een Functionaris voor de gegevensbescherming (FG) aan

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat geldt ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat ook bijvoorbeeld zorg- en onderwijsinstellingen. Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven. Tot slot maakt verwerking van bijzondere persoonsgegevens het organisaties verplicht om een functionaris gegevensbescherming te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden. Bepaal daarom nu alvast of dit van toepassing is, en stelt de werving van selectie van de functionaris niet te lang uit. Je leest er hier meer over.

Wil je weten hoe het met het informatiebewustzijn in jouw organisatie gesteld is? De security awareness training van Awareways start met een meting die concreet inzicht geeft in het gedrag, de sociale en de culturele aspecten die van invloed zijn op een informatie- en beveiligingsbewuste organisatie.

De rol van Awareways

Awareways heeft op basis van deze inzichten een effectief en meetbaar security awareness programma ontwikkeld, gericht op die structurele gedragsverandering. De focus ligt niet op het leren van regels, maar op het herkennen van risicovolle situaties – en daar naar handelen. Het begint bij bewustzijn, maar wordt door training en herhaling langzaam maar zeker onderdeel van de bedrijfscultuur. De mens is de belangrijkste schakel in informatiebeveiliging – activeer die human firewall!

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.