D-Day 25 mei 2018 - Algemene Verordening Gegevensbescherming (AVG)

Foto: Microsoft

Vertrouwen in degene met wie wij onze gegevens delen, en vertrouwen in de beveiliging van die gegevens. In Nederland is nu nog de Wet Bescherming Persoonsgegevens (WBP) van kracht, maar deze WBP wordt per 25 mei 2018 vervangen door de nieuwe Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens gaat toezicht houden op de AVG en helpt met tien basisstappen voor de voorbereiding. Check de 10 stappen hier.

Op hoofdlijnen

1. Bewerkersovereenkomst
De bewerker zal voortaan niet meer een externe partij mogen inschakelen om persoonsgegevens te verwerken, zonder voorafgaande schriftelijke toestemming van de verantwoordelijke

2. Rechten van betrokkene (right to access & to be forgotten)
De betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn gegevens niet meer voor marketingdoeleinden worden verwerkt.

3. Privacy by design and by default
producten en diensten moeten ‘privacy-proof’ ontwikkeld worden en ingesteld zijn.

4. Meldplicht datalekken
Concreet: op het moment dat er per ongeluk (of opzettelijk) data verloren gaan, of op straat terecht komen, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Houdt het lek waarschijnlijk een hoog risico in voor de personen waar de gegevens betrekking op hebben? Dan moeten zij ook van het lek op de hoogte worden gesteld.

5. De privacy officer
De privacy officer wordt verplicht voor overheidsinstanties, maar ook voor organisaties die stelselmatig op grote schaal personen observeren (bijvoorbeeld: camerabewaking) of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens). Een lidstaat mag echter zelf de gevallen aanvullen waarin een privacy officer verplicht is.

6. Een Privacy Impact Assessment (PIA) verplicht uitvoeren?
Het uitvoeren van een Privacy Impact Assessment (PIA) is verplicht als het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt. Een PIA is in ieder geval verplicht bij profiling: grootschalige verwerking van bijzondere persoonsgegevens.

7. Organisatie verplicht een register bij te houden?
Een register bijhouden is niet verplicht voor organisaties met minder dan 250 medewerkers. Dat wil zeggen: tenzij er stelselmatig (bijzondere) persoonsgegevens worden verwerkt, of de verwerking een risico voor de betrokkenen heeft. Op verzoek van de toezichthouder dient het register aan de toezichthouder overhandigd te worden ter controle.

Bron: https://www.frankwatching.com/ 

Zie ook: Voldoen aan de AVG: niet enkel verplichting, maar vooral een kans voor privacy