De nieuwe privacywet AVG

19 december 2017
Privacy

We leven in een digitaal tijdperk waarin veel persoonsgegevens worden opgevraagd, verwerkt en in de cloud opgeslagen. Deze data kan gevoelig zijn en voor doeleinden gebruikt worden die niet gewenst zijn. De wet die hier bescherming tegen moet geven, is herzien en gaat binnenkort van kracht.

Bedrijven zijn er al een tijdje mee bezig, maar 25 mei 2018 is het officieel. Vanaf die datum geldt dezelfde privacywetgeving in de hele Europese Unie (EU).

De nieuwe wet Algemene Verordening Gegevensbescherming (AVG) krijgt meer impact op het bedrijfsleven dan ooit. Voorheen was het de Wet Bescherming Persoonsgegevens (WBP), maar doordat de Europese wetgeving in de vorm van de General Data Protection Regulation (GDPR) veranderd is van een richtlijn naar een verordening heeft de wet meer kracht gekregen. Het verschil zit hem in dat een richtlijn niet wetgevend is en een verordening is dat wel. De wetteksten liggen al ruim 1,5 jaar klaar. Bedrijven hebben dus ruim de tijd gekregen om zich op deze wet voor te bereiden.

Maar wat houdt deze wet nu precies in en op wie is het van toepassing? De wet heeft betrekking op iedere organisatie in Europa die met geïdentificeerde & identificeerbare persoonsgegevens werkt. Het maakt niet uit of het nu gaat om een profit- of een non profit organisatie. Voor de ene organisatie heeft de wet meer impact dan de andere, dat ligt aan de core business. Verder is er ook onderscheid te maken in de persoonsgegevens, zo heb je standaard en bijzondere persoonsgegevens. Bij laatstgenoemde kan je denken aan gezondheidsgegevens, ras of godsdienst. Hier worden hogere beschermingseisen aan gesteld. De verantwoordelijkheid voor het beschermen van deze persoonsgegevens ligt bij de organisaties. Zij moeten kunnen aantonen dat zij er alles aan hebben gedaan om de data te beschermen. Kunnen zij dit niet bewijzen, dan ontvangen zij een fikse boete van de Autoriteit Persoonsgegevens. In het ergste geval kunnen licenties worden afgenomen. Verder moeten zij een register bijhouden met welke gegevens zij bewaren en voor welke doeleinden. Als laatst moet de persoon, van wie de gegevens zijn, kunnen inzien welke gegevens bekend zijn en ze, wanneer hij/zij dat nodig acht, kunnen aanpassen.

 Daarnaast introduceert AVG een nieuw recht: het recht op dataportabiliteit. Dit nieuwe recht is nauw verbonden met het recht op inzage, maar verschilt hier ook op veel punten van. Het recht op dataportabiliteit (overdraagbaarheid van gegevens) houdt in dat de betrokkene het recht heeft de persoonsgegevens die hij aan een verantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere verantwoordelijke over te dragen. Het doel van dit nieuwe recht is de positie van betrokkenen te versterken en hun meer controle over hun gegevens te geven.

De herziening van deze wet heeft ook zijn doorwerking op de zorg en het onderwijs. Applicaties zijn gevoelige databases en interessant voor de cybercriminaliteit. Denk hierbij aan phishing mails met patiënten- of studentennummers en informatie over de behandelend arts of leraar waardoor de mail heel betrouwbaar lijkt. Medische informatie kan worden aangepast en daardoor krijgen patiënten verkeerde medicatie voorgeschreven. Eén verkeerde klik op de knop kan grote gevolgen hebben. Niet alleen voor de organisatie, maar ook voor de patiënt of student.

Grote organisaties kunnen externe bureaus inschakelen, kleine en middelgrote organisaties kunnen de verantwoordelijkheid delegeren naar een Data Protection Officer. Zij moeten ervoor zorgen dat processen worden aangepast zodat gegevensbescherming gegarandeerd is. Wanneer de implementatie van vernieuwde processen wordt uitbesteed naar een extern bureau is het van groot belang om de verantwoordelijkheid goed contractueel vast te leggen. Hierbij zijn er twee rollen: de verwerkingsverantwoordelijke en de verwerker. De verwerker is de organisatie in opdracht van de verwerkingsverantwoordelijke. Diegene die verantwoordelijk is voor de gegevensbescherming zorgt voor het verwerkings- en toestemmingsregister en dat de privacyverklaring geactualiseerd is.

Juridische, operationele en technologische uitdagingen staan voor de deur!

Finalist is een ISO 27001 en NEN7510 gecertificeerde organisatie die informatiebeveiliging ziet als een top prioriteit. Dit is terug te zien in de ontwerpen van systemen van onze specialisten. Daarnaast is Finalist specialist in het ontsluiten en distribueren van data. Vanuit die verschillende expertises kan Finalist uw organisatie verder helpen met het implementeren van deze nieuwe wetgeving.