Om maar met een cliché te beginnen: de tijd vliegt. Zeker als we het hebben over de implementatie van de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation, afgekort tot GDPR. Het gaat hier om een Europese verordening die in het leven is geroepen om de veiligheid van persoonsgevoelige data beter te waarborgen. Deze verordening is al van kracht, maar het wachten is nog op de Autoriteit Persoonsgegevens. Deze instantie moet aangeven op welke wijze er in Nederland op de naleving wordt gecontroleerd. Vanaf 25 mei 2018 ben je als bedrijf verplicht om aan de regels te voldoen.
Voor wie geldt de GDPR?
De GDPR geldt in principe voor iedereen. Dus alle bedrijven in de EU moeten aan deze verordening voldoen. Het veiligheidsniveau is afhankelijk van de aard van de data die je als bedrijf opslaat. Ook die indeling moet nog worden vrijgegeven. Je kan je voorstellen dat een klantenbestand met n.a.w.-gegevens en een mailadres een ander veiligheidsniveau vragen dan een bestand waarin ook gegevens over de gezondheid of financiële data zijn opgenomen.
Om wat voor gegevens gaat het?
Er is een onderscheid gemaakt tussen Persoonsgegevens en Bijzondere Persoonsgegevens. Persoonsgegevens zijn bijvoorbeeld naam, adres, woonplaats, een IP-adres, telefoonnummers en facturen. Er zullen dus geen bedrijven zijn die helemaal geen Persoonsgegevens opslaan. Daarnaast zijn er Bijzondere Persoonsgegevens. Hier gaat het om informatie over godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid en ziekte, seksuele voorkeur, strafrechtelijk verleden, lidmaatschappen en Burgerservicenummers. Ook massaverwerking van data behoort tot Bijzondere Persoonsgegevens.
Wat moet je doen? Als je alleen Persoonsgegevens vastlegt, wordt aangeraden om een Privacy Impact Assessment te doen. Als je ook met Bijzondere Persoonsgegevens werkt, is een PIA verplicht. Het begint met het aanleggen van een Register van Persoonsgegevens. Hierin wordt beschreven waar welke data zich bevindt en wie er toegang tot die data heeft. Ook beschrijf je de eigenschappen van de data en of deze wel of niet is versleuteld. Verder moet je motiveren waarom het relevant is om de data op te slaan. Als je dat niet kan, mag je de data ook niet bewaren. Nadat het Register van Persoonsgegevens is aangelegd, maak je een stroomschema van alle data, zodat inzichtelijk wordt hoe het dataverkeer verloopt en waar welke informatie terechtkomt. Tenslotte stel je de dataveiligheid vast en moet je die toetsen aan de eisen die de Autoriteit Persoonsgegevens vanuit de GDPR stelt.
Het aftellen is begonnen
We kunnen ons voorstellen dat dit bij veel bedrijven rauw op het dak komt. Als je niet goed weet wat je precies moet doen en waar je moet beginnen, kunnen wij je helpen. Als Vindicta kunnen we voor al onze opdrachtgevers het Privacy Impact Assessment uitvoeren. Wij werken samen met juridisch kantoor ICTRecht en Kader – Bureau voor Kwaliteitszorg, om het juiste advies en een correcte implementatie van de GDPR/AVG te verzorgen. Want vanaf 25 mei 2018, heeft elke eigenaar van data het recht om in te zien welke data er bij jou geregistreerd staat en wie er toegang tot die gegevens heeft gehad… Je kan daar maar beter op voorbereid zijn.
Kan Vindicta iets betekenen voor u met betrekking tot de implementatie van de GDPR of wenst u meer informatie hierover?