Privacy regels veranderen in 2018 ingrijpend. Met ingang van 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing in Nederland. Deze regelgeving vervangt een groot deel van de Nederlandse wetgeving op het gebied van gegevensbescherming.

Europese privacy regelgeving

De Europese Commissie heeft besloten omdat de huidige wetgeving niet langer aansluit op de continue veranderingen als gevolg van de digitalisering. Deze nieuwe privacyregelgeving is in de vorm van een Europese verordening van toepassing geworden op alle organisaties in de Europese Unie; de General Data Protection Regulation (GDPR). De GDPR is rechtstreeks van toepassing in alle EU-lidstaten zonder dat omzetting in nationale wetgeving nodig is.

Nieuwe privacy concepten

GDPR (AVG) introduceert nieuwe concepten, zoals het recht van inzage en het recht om vergeten te worden. Daarnaast is GDPR gebaseerd op een aantal privacy principes. Dit brengt een aantal verplichtingen met zich mee voor organisaties. Deze verplichtingen kunnen variëren van het inrichten van een register met verwerkingen van persoonsgegevens, tot het uitvoeren van risicoanalyses (DPIA) en het aanstellen van een functionaris voor gegevensbescherming (FG).

Gevolgen AVG

De gevolgen van algemene verordening gegevensbescherming is voor de meeste organisaties beperkt tot het bijhouden van een register van verwerkingen en het inrichten van informatiebeveiligingsmaatregelen gericht op privacy. SASconsult biedt diverse oplossingen om vast te stellen welke maatregelen verplicht zijn binnen uw organisatie. De belangrijkste mogelijke verplichtingen zijn:

  • Beveiligingsmaatregelen
  • Register van verwerkingen
  • Data Protection Impact Assessment (DPIA)
  • Functionaris voor Gegevensbescherming (FG)

Implementatie AVG

Hiervoor zijn in hoofdlijnen twee mogelijkheden; implementatie van de algemene verordening gegevensbescherming door middel van ControlReports of ondersteuning door gespecialiseerde privacy consultants. ControlReports is privacy software die een workflow biedt voor de implementatie en een volledige toolkit om te voldoen aan alle vereisten.

Privacy Software

ControlReports biedt een workflow en implementatietoolkit. U loopt stapsgewijs door alle vereisten van de algemene verordening gegevensbescherming en bepaalt welke onderdelen wel- of niet van toepassing zijn op uw organisatie. Op basis van deze analyse stelt de software templates op voor de onderdelen die voor u van toepassing zijn. Deze templates zijn bijvoorbeeld een template voor informatiebeveiligingsbeleid, de risicoanalyse (Data Protection Impact Assessment), de policy datalekken of de privacy policy die van toepassing op de organisatie is.

Consultancy

Indien u meer ondersteuning wilt voor de implementatie van de algemene verordening gegevensbescherming dan begeleiden onze consultants u in dit proces van begin tot eind. Dat betekent dat zij u ondersteunen bij het bepalen van de impact, ondersteunen bij het opstellen van het register van verwerkingen, de Data Protection Impact Analysis (DPIA) met u uitvoeren en vaststellen wat de uiteindelijke verplichtingen zijn. SASconsult kan tevens professionele Functionarissen voor Gegevensbescherming (FG) bieden die u volledig kunnen ontzorgen.

Wat verandert er precies in 2018?

  • De belangrijkste verandering is het instellen van de Autoriteit Persoonsgegevens door de Rijksoverheid. De taak van deze autoriteit is het handhaven van algemene verordening gegevensbescherming in Nederland. 
  • Uit hoofd van de verordening kunnen zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de algemene verordening gegevensbescherming overtreden, opgelegd worden. Deze sancties kunnen opgelegd worden door middel van boetes; EUR 20 miljoen of 4% van de algemene jaaromzet.
  • De algemene verordening gegevensbescherming is ook van toepassing op organisaties die niet in de Europese Unie gevestigd zijn, maar wel producten of diensten binnen de EU aanbieden. Ook organisaties die gedrag van individuen binnen de EU monitoren vallen onder de AVG/GDPR.
  • Organisaties zijn verplicht om zelf een overzicht bij te houden van al hun verwerkingen van persoonsgegevens in een register van verwerkingen. Hierdoor worden de administratieve lasten van organisaties verminderd. Er bestaat geen verplichting meer om verwerkingen van persoonsgegevens te melden bij lokale toezichthouders.
  • Individuen in de Europese Unie hebben het recht van vergetelheid, dit betekent dat ieder individu niet langer geregistreerd mag worden dan noodzakelijk is. Organisaties die persoonsgegevens verwerken, moeten persoonsgegevens verwijderen indien aan bepaalde voorwaarden wordt voldaan.
  • De AVG/GDPR is een Europese verordening, en niet alleen een richtlijn. Een verordening is rechtstreeks geldig in richtlijn 95/46/EG. Regelgeving is dus door de gehele Europese Unie gelijk.