De nieuwe privacywet; ben je er klaar voor?

Blogs

10 oktober 2017

Leestijd: 7 minuten leestijd

Blog

Langzaam maar zeker komt de datum dichterbij: 25 mei 2018, de datum waarop in heel Europa de nieuwe privacywet ingaat. Deze ‘Algemene verordening gegevensbescherming’ ofwel ‘General Data Protection Regulation’ (GDPR) houdt de gemoederen nogal bezig. Hugo Franssen, Business Consultant bij MostWare, is expert als het gaat om de GDPR en alles wat daarbij komt kijken. Hij schijnt zijn licht op de belangrijkste zaken.

Voor de burger een goede zaak

De GDPR vervangt de huidige Wet bescherming persoonsgegevens. Dat houdt in dat organisaties die persoonsgegevens verwerken meer verplichtingen hebben. Zij moeten onder de nieuwe wetgeving – nog meer – kunnen aantonen dat zij conform de wet met die gegevens omgaan. Voor ons als burger is het een goede zaak; iedere EU-burger heeft het recht te weten hoe zijn of haar data worden gebruikt, en kan organisaties er makkelijker op aanspreken als daar niet juist mee wordt omgegaan. Voor organisaties kan het voor nogal wat hoofdbrekens zorgen.

Onderschat het niet

Er zijn nog steeds bedrijven die de ernst van de GDPR onderschatten. Terwijl de boetes die straks opgelegd kunnen worden echt heel serieus zijn. Alleen al het hebben van een eenvoudig contactformulier op een website betekent dat je persoonsgegevens verwerkt en dat de GDPR op jou als organisatie van toepassing is.

Ook een verloren visitekaartje is een datalek

De verantwoordelijkheid wordt nogal eens naar de IT-afdeling geschoven. Maar het gaat bij de GDPR zeker niet alleen om digitale gegevens. Ook een visitekaartje dat je verliest op straat is formeel een datalek. En denk eens aan archiefkasten, papieren klantendossiers et cetera. En als je bepaalde zaken uitbesteedt – zoals bijvoorbeeld de salarisadministratie – ben je verwerkingsverantwoordelijk en moeten de juiste maatregelen in stelling worden gebracht om te voorkomen dat gegevens op straat komen te liggen.

De juiste kennis en kunde in huis

In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Op hun website geeft de Autoriteit praktische houvasten. Zelfs daar zie je dat lang nog niet alle wetsartikelen vertaald zijn naar de praktijk. Er wordt nog van alles aangepast, bijvoorbeeld omtrent het aanstellen van een functionaris voor de gegevensbescherming (FG). Overheidsinstanties en publieke organisaties zijn altijd verplicht een FG aan te stellen. Maar wat moet het MKB ermee? Eerst waren bedrijven met meer dan 250 medewerkers verplicht een FG aan te stellen; nu is dat weer aangepast. Ook zijn de regels niet heel eenduidig opgesteld. Daarom is het zo enorm belangrijk de juiste kennis en kunde in huis te hebben of te halen om een goede vertaling te kunnen maken van wat er nu precies gesteld wordt binnen GDPR.

Tienstappenplan

De Autoriteit Persoonsgegevens heeft een tiental stappen gedefinieerd die uitgevoerd moeten worden om aan de GDPR te voldoen. Als organisaties nu nog moeten beginnen met die stappen dan is er nog wel tijd, maar de tijd begint te dringen. De allereerste stap is om goed grip en houvast te krijgen op de persoonsgegevens die in je organisatie worden verwerkt. Hoe worden die gegevens geclassificeerd, en waar staat alles? Op computers, netwerkschijven, bij een externe partij; vaak staan gegevens op verschillende plaatsen.

Een zo passend mogelijke oplossing

Bij MostWare zijn we bekend met de technische kant, maar ook met de organisatorische kant en de wet- en regelgeving. Door op procesmatig niveau analyses uit te voeren, komen we tot de meest passende oplossing voor een klant.

Grip krijgen op wat er is en begrijpen wat moet komen

We brengen eerst de huidige situatie in kaart en toetsen die aan de GDPR; wat moet er straks zijn? Het gat daartussen moet gedicht worden. Dat kan door middel van verschillende technische en organisatorische aanpassingen; misschien moeten contracten worden aangepast, moeten processen worden veranderd, een FG aangesteld, of misschien moet de firewall vervangen worden. Het gaat erom grip te krijgen op wat er nu is, te begrijpen wat er moet komen en wat daarvoor nog moet gebeuren.

We zijn zeker geen juristen, maar we zorgen wel voor de praktische vertaling van wat de impact van de GDPR is op een organisatie. Soms is verdiepende juridische kennis nodig en dan gaan we aan tafel met een gespecialiseerde jurist of advocatenkantoor uit ons netwerk.

Wij bieden klanten een houvast. We doorlopen het tienstappenplan, en bekijken waar een organisatie veranderingen aan moet brengen. Dat vertalen we naar een lijst met activiteiten en creëren zo een helder, concreet pad dat we samen met de klant belopen, zodat ze helemaal klaar zijn voor 25 mei 2018!

De stappen in het kort

Op de site van de Autoriteit Persoonsgegevens staat een duidelijk overzicht van de tien stappen die nodig zijn om klaar te zijn voor mei 2018. In het kort:

  • Bewustwording

  • Rechten van betrokkenen

  • Overzicht verwerkingen

  • Data protection impact assessment (privacy-effect-beoordeling)

  • Privacy by design en privacy by default (ingebouwde privacy en standaardprivacyinstellingen)

  • Functionaris voor de gegevensbescherming

  • Meldplicht datalekken

  • Bewerkersovereenkomsten

  • Leidende toezichthouder

  • Toestemming

Meer weten?

Wil je eens praten over jouw situatie? Neem contact op met onze GDPR-expert Hugo Franssen, 088-6676069.

Benieuwd wat wij voor jou kunnen regelen?

Dit is Dennis, hij adviseert je graag. Neem vrijblijvend contact op!
Dennis

Kom met ons in contact

Op ons algemene nummer
+31 (0)71 579 10 10
Of direct naar de helpdesk
+31 (0)71 579 10 15

Supportvraag? Maak een ticket aan of bekijk de status van je ticket op onze portal mijnmostware.nl

Contactformulier Ik wil jullie bezoeken

Dennis Schellekens

Brand Manager