Nieuws

Wet bescherming persoonsgegevens: wat verandert er?

Alle bedrijven die gevestigd en/of actief zijn in de Europese Unie moeten vanaf mei 2018 voldoen aan de Europese wet bescherming persoonsgegevens: de Algemene verordening gegevensbescherming (AVG) ook wel General Data Protection Regulation (GDPR) genoemd. Wat betekent dat voor uw bedrijf en voor uw klanten?

Reikwijdte AVG/GDPR

Vanaf mei 2018 geldt er één privacywetgeving voor de EU. Dat betekent dat de huidige, bestaande Nederlandse privacywetten (Wbp en Wbrp) vanaf die datum van oudsher niet meer toegepast worden. Europa wil met de nieuwe wet zijn burgers eenduidig beschermen tegen het ongewenst gebruik van persoonsgegevens. Het begrip persoonsgegevens wordt in de nieuwe wet verruimd: naast naw-gegevens vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet.

Wat zijn de belangrijkste veranderingen?

De nieuwe wet schrijft voor dat u alleen onder zeer strikte voorwaarden persoonlijke informatie mag verzamelen en bewaren. Voor het verzamelen, verwerken en gebruiken van deze data heeft u bovendien expliciete toestemming nodig van de betrokkenen: per onderwerp en soort gebruik (e-mail, inschrijving, nieuwsbrief, aanbodsmail). Ook als u data opgeslagen heeft in datacenters of een cloud buiten de EU moet u kunnen aantonen dat deze data voldoen aan de nieuwe wetgeving. Bedrijven met meer dan 250 medewerkers en/of bedrijven die gevoelige data verwerken moeten zelfs een register maken waarin de verschillende verwerkingen van persoonsgegevens worden bijgehouden, inclusief het doel, grondslag en genomen beveiligingsmaatregelen.

Daarnaast moet u technische en organisatorische maatregelen treffen om data te beschermen tegen onrechtmatig gebruik, dataverlies en -diefstal. Voorbeelden van die maatregelen zijn onder andere een passende (ICT)-beveiliging, een passend intern privacybeleid en software die voldoet aan de eisen van de nieuwe wetgeving (privacy by design). In het geval van datalekken bent u verplicht hier binnen 72 uur melding van te doen bij de autoriteit Persoonsgegevens, een verplichting die in Nederland al sinds de invoering van de meldplicht datalekken geldt.

Wat zijn de sancties bij het niet naleven van de wet?

In de huidige privacywet kunt u per overtreding maximaal 900.000 euro boete krijgen. Dit bedrag wordt in de wet AGV/GDRP verhoogd naar 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Hoe kunt u zich voorbereiden op de nieuwe wet?

De wet AGV/GDRP heeft grote impact op organisaties die persoonsgegevens beheren en verwerken en dus feitelijk op alle organisaties. U heeft tot 2018 om uw bedrijf hierop voor te bereiden. De stappen die u nu al kunt zetten zijn:

  1. Breng in kaart welke en hoeveel persoonsgegevens er worden bijgehouden en op wat voor manier dat gebeurt. Inventariseer welke processtappen veranderd c.q. verbeterd moeten worden om te kunnen voldoen aan de wet AGV/GRDP.
  2. Zorg voor een heldere procedure rondom datalekken zodat duidelijk is welke stappen er genomen moeten worden als er zich een incident voordoet.
  3. Controleer en verbeter uw interne privacybeleid en uw privacyverklaring conform de richtlijnen van de wet AGV/GRDP.
  4. Controleer de overeenkomsten die u heeft met uw leveranciers én met uw klanten proactief en pas deze waar nodig aan. Uiteraard zijn wij binnen Uniserver bezig om onze contracten ook te herzien vanuit het perspectief van de wet AGV/GRDP, waar relevant houden we u hiervan persoonlijk op de hoogte.
  5. Informeer uw klanten proactief over de wet AGV/GRPD.

Uniserver werkt onder andere samen met: