De impact van de Europese privacy-verordening op uw (MKB) organisatie. Geschreven door Theo Kusters, CIPP/E, Data Protection Officer

Venlo

De impact van de

Europese Privacy

wetgeving

Whitepaper van PrivacyCollectief

PrivacyCollectief helpt organisaties met trainingen en met een workshop om een privacy-missie en gedragsregels op te stellen.

Een belangrijke wijziging in deze verordening ten

opzichte van de bestaande regelgeving (in

Nederland o.a. de Wet Bescherming

Persoonsgegevens, Wbp) is dat u als organisatie

moet kunnen aantonen dat u maatregelen

genomen hebt om te voldoen aan de eisen. Dat

geldt voor alle organisaties die persoonsgegevens

verzamelen of bewerken.

Beheersen van risico’s.

Privacy Impact Assessment.

Vaak blijkt dat de risico’s in relatief kleine

organisatie niet zo groot zijn, u zit er als directie

immers bovenop. Toch zult u straks “op een

proportionele wijze” de risico’s moeten afdekken

én kunnen aantonen dat u ze afgedekt hebt. In

ieder geval moet u, als het verwerken van

persoonsgegevens risico’s voor de betrokkenen

inhoudt, een Privacy Impact Assessment (PIA)

moeten (laten) uitvoeren. U toont daarmee aan

dat u de risico’s in kaart gebracht hebt en tevens

welke maatregelen u neemt om die risico’s naar

behoren af te dekken en zo te voorkomen dat er

datalekken kunnen ontstaan. Houdt u rekening

met hoge boetes als onder uw

verantwoordelijkheid een datalek is ontstaan.

Datalekken die de media halen kunnen leiden tot

reputatieschade en zelfs tot het verlies van

belangrijke klanten.

In de praktijk is “100% waterdicht” als het gaat

over risico’s afdekken haast niet mogelijk. Wees

daarom op uw hoede voor juristen en consultants

die dat beloven. Ze kosten een vermogen en de

kans dat ze uw bestaande bedrijfsprocessen gaan

verstoren, is groot. Beter is het een adviseur in de

arm te nemen die u keuzes voorlegt hoe u met

privacyvraagstukken binnen de AVG kunt omgaan

en die passen binnen uw bedrijfsvoering.

Iemand die kiest voor een pragmatische aanpak,

rekening houdt met de risico’s die uw organisatie

loopt én die u wijst op de risico’s die de personen

lopen waarvan u de gegevens verzamelt, verwerkt

en opslaat. Dat laatste mag u overigens in de

nieuwe wet alleen onder strikte voorwaarden

doen.

PrivacyCollectief helpt u graag met het uitvoeren

van een Privacy Impact Assessment (PIA).

Uitbesteden van verwerking en opslag van

persoonsgegevens.

Veel bedrijven besteden onderdelen van digitale

bewerkingen uit. Denk hierbij aan opslag bij een

datacenter of toepassing van software in de cloud

bij een leverancier. Het is een misverstand om te

denken dat u door de verwerking uit te besteden

niet meer aansprakelijk bent voor de veilige

verwerking; zolang u bepaalt wat het doel is van de

verwerking en wat de middelen zijn waarmee dat

gebeurt (why en how), bent u verantwoordelijk én

aansprakelijk. Als u verwerkingen (vroeger

“bewerkingen” genoemd) uitbesteedt, zult u zeer

duidelijke, door de wet genoemde afspraken in

een overeenkomst met deze verwerkers moeten

maken. Deze afspraken betreffen o.a. de

Whitepaper van PrivacyCollectief De impact van de Europese privacy-verordening op uw (MKB) organisatie.

Vanaf 25 mei 2016 is de tekst van de nieuwe Algemene Verordening Gegevensverwerking (AVG), in het

Engels “General Data Protection Regulation” (GDPR), definitief en moeten organisaties in de hele

Europese Unie hun bedrijfsvoering met de AVG in overeenstemming brengen. Daar hebben ze tot 25 mei

2018 de gelegenheid voor.

PrivacyCollectief helpt organisaties met trainingen en met een workshop om een privacy-missie en gedragsregels op te stellen.

beveiligingsmaatregelen rondom de door u

ingeschakelde derde verwerkers. Vaak zal een

verwerker, bijvoorbeeld een bureau dat uw

salarisadministratie verzorgt, u een

verwerkersovereenkomst aanbieden. Het verdient

aanbeveling om die overeenkomst te laten

controleren op volledigheid en juistheid in het

kader van de nieuwe privacywetgeving. U blijft

immers verantwoordelijk.

PrivacyCollectief biedt een check op

verwerkersovereenkomsten aan tijdelijk vanaf

slechts € 97,-- ex BTW. Zie www.privacycollectief.nl

Awareness training voor uw personeel.

Gedragsregels.

In de nieuwe privacywet zijn organisaties verplicht

om een opleidings- en bewustwordingsprogramma

uit te voeren voor medewerkers die met

persoonsgegevens omgaan. Vaak is het voldoende

om daar jaarlijks een dagdeel aan te besteden.

Medewerkers zullen zich wat makkelijker uiten

over risico’s en eventuele misstanden die ze in de

dagelijkse praktijk tegenkomen als u deze training

door een externe partij laat uitvoeren.

U dient een privacy-beleid op te stellen en het is

zinvol om dat in een privacy-missie als

uitgangspunt te formuleren. Deze missie dient als

“kapstok” om al uw toekomstige activiteiten te

kunnen toetsen. Een voorbeeld van zo’n missie is:

‘directie en medewerkers van XX zijn zich bewust

van het risico en de mogelijke gevolgen van

ongeoorloofd gebruik van persoonsgegevens. Alle

stakeholders mogen er dan ook op vertrouwen dat

deze gegevens bij ons op een veilige en zorgvuldige

manier worden verwerkt en dat onze activiteiten

tenminste voldoen aan de geldende wetgeving.’

Mooie woorden en met de beste bedoeling maar

ze moeten wel vertaald worden naar gedragsregels

voor alle medewerkers. Gedragsregels die

gebaseerd zijn op de “fair information principles”

die op hun beurt weer als uitgangspunt voor de

Europese privacy wetgeving dienen.

PrivacyCollectief biedt diverse workshops om uw

medewerkers bewust te maken van de noodzaak

om persoonsgegevens te beschermen.