De nieuwe privacywetgeving
25 mei 2018 vervangt de Algemene verordening Gegevensbescherming (AVG) de huidige regelgeving voor de privacy van gegevens. Deze verordening geldt voor de hele Europese Unie.
Deze strengere Europese wetgeving geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van zowel klanten, medewerkers, vrijwilligers of andere personen.
Veel activiteiten van bedrijven vallen nu zeer snel onder de nieuwe privacywetgeving.
Hoeveel tijd heeft u nog?
Welke privacy informatie valt onder AVG?
De nieuwe AVG legt dwingend eisen op voor bijvoorbeeld het vastleggen van persoonsgegevens, cookies of zelfs ip-adressen. Maar zeer zeker t.a.v. het registreren van gevoelige informatie zoals medische gegevens of bankrekeningen e.d.
Weet u wat uw drukker van mailings doet met uw adresgegevens?
Wat moet men doen?
Belangrijk is dat in de hele organisatie men bekend is met de privacy wetgeving. Zet dit dus op de agenda van het werkoverleg en maak op afdelingsniveau werkafspraken hierover. Want u moet de medewerkers bewust maken van de privacyregels.
Functionaris gegevensbescherming
Benoem in grotere organisaties of organisaties met privacygevoelige gegevens een functionaris hiervoor. Dit is de functionaris gegevensbescherming.
Zo min mogelijk persoonsgegevens verwerken
Uitgangspunt is: verwerk alleen persoonsgegevens die noodzakelijk zijn voor een specifiek doel en bepaal wat met deze gegevens moet gebeuren als het doel is bereikt. Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben.
Hou er rekening mee dat iedereen het recht heeft om zijn/haar gegevens in te zien en dan ook het recht heeft op eventuele correctie of zelfs verwijdering van gegevens.
Datalekken melden
In de nieuwe wetgeving is men verplicht om datalekken te melden.
Worden gegevens ter beschikking gesteld aan derden (bijv. voor het versturen van mailings) dan moet die derde een bewerkersovereenkomst tekenen. Bestaande overeenkomsten moeten daarom wellicht worden aangepast aan de nieuwe wet.
Belangrijk is dat de personen expliciet toestemming moeten geven voor het verwerken van gegevens voor bepaalde doelen. Dit moet altijd eenduidig aantoonbaar zijn. Voor alles moet afzonderlijk toestemming worden gegeven.
Instemming Ondernemingsraad
Het privacybeleid van een onderneming is instemmingsplichtig door de Ondernemingsraad.
Inventarisatie van de risico's
Stel een risico inventarisatie voor bescherming van privacy gevoelige gegevens op en de verwerking van deze gegevens. Maak op basis hiervan een plan van aanpak.