De AVG 2018, ken jij de impact al?

Posted on 11 juli, 2017 by Marc Fahrner

Tags:

Wbp wordt AVG

Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) definitief de huidige Wet bescherming persoonsgegevens, de Wbp. Dit heeft gevolgen voor alle organisaties die werken met persoonsgegevens. Nederland heeft, net als veel andere landen van de EU, haar zaken goed op orde. Zeker wanneer we dit vergelijken met landen buiten de EU. Historische, culturele en juridische verschillen zorgen ervoor dat lang niet overal hetzelfde niveau van veiligheid gehaald wordt als bij ons. De huidige Wbp vindt haar oorsprong alweer in 1995. De opvolger, de AVG, is op 25 mei 2016 gepubliceerd. Volgens de regelgeving wordt deze nu exact 2 jaar later definitief.  

Restaurant Overzicht

Wat wordt er anders?

Het belangrijkste verschil is dat het allemaal zwaarwegender wordt. Zeker als je niet aan de AVG voldoet, terwijl je dat wel verplicht bent op grond van je activiteiten. De privacyrechten van mensen worden versterkt. Ze moeten expliciet toestemming geven voor gebruik van hun gegevens, het doel moet helder voor hen zijn en de toestemming moet net zo eenvoudig weer in te trekken zijn. Men heeft ook het recht om een organisatie te vragen hun gegevens geheel te verwijderen. Bovendien mogen mensen straks van jouw organisatie eisen dat jij een verwijdering ook regelt bij alle organisaties waaraan je de betreffende gegevens hebt doorgegeven.

Dat dit gevolgen heeft voor verwerkende organisaties mag duidelijk zijn. De verantwoordelijkheden nemen toe. Je moet met documenten aantonen dat je de juiste organisatorische en en technische maatregelen hebt genomen om aan de AVG te voldoen. Ook moet je kunnen bewijzen dat je geldige toestemming hebt gekregen om gegevens op te slaan en te verwerken. Je kunt het verzoek krijgen om de opgeslagen gegevens in een standaardformaat terug te geven. Het recht op deportabiliteit, heet dit. Mensen moeten hierdoor hun gegevens eenvoudig door kunnen geven aan een andere instelling die gelijksoortige diensten levert als de jouwe. Kortom, je zult je processen en systemen echt goed op orde moeten hebben. De boetes zijn namelijk niet mals!

Privacy is hot en blijft een gevoelig onderwerp

Hoe zit dat tussen jouw organisatie, je gegevens en Quarto?

Wanneer je gebruik maakt van de systemen van Quarto en je hierin persoonsgegevens vastlegt, die vervolgens bij ons centraal op de server belanden (hosting), wil je zeker weten dat wij de belangen van jouw gasten niet schaden. En je wilt helemaal zeker weten dat wij jouw organisatie niet in een lastig parket brengen door zaken niet volgens de AVG op te slaan. Binnen de Wbp zijn hiervoor zogenaamde Bewerkersovereenkomsten van toepassing, die één en ander borgen. Daarnaast voldoen onze datacenters aan de ISO-27001 normering, die hier ook het nodige over zegt en borgt. Maar deze moeten straks dus ook de toets aan de AVG kunnen doorstaan.

Daarom zijn we op dit moment druk bezig met een nieuwe risicoanalyse. We willen zeker weten dat de transitie van Wbp naar AVG niet alleen procedureel, maar ook technisch, ruim voor 25 mei aanstaande weer helemaal correct is ondervangen. De Autoriteit Persoonsgegevens, heel belangrijk, heeft veel inhoudelijke informatie op haar website, maar kan ook nog niet op alle vragen antwoord geven. In Nederland komt bijvoorbeeld, aanvullend op de AVG, nog een Uitvoeringswet AVG. Deze is nog niet definitief vastgesteld. Wij houden dus de informatie van de AP goed in de gaten, maar doe je dit zelf ook? 

Ons advies om straks niet in de knel te komen

Ongetwijfeld ben je ruim geïnformeerd over de AVG en het moment van ingang. Mogelijk is er in je bedrijf een speciale afdeling voor die dit allemaal plant en stroomlijnt. Perfect. Toch kan het hier nog maar even aangehaald worden. 

Binnen Quarto is er alle aandacht voor, maar hebben we alleen grip op onze eigen processen en systemen. We houden je, onderweg naar 25 mei 2018, graag op de hoogte van de nieuwste ontwikkelingen en status aan onze kant.

Mocht je nog niet weten hoe het er bij jou voorstaat of advies kunnen gebruiken: lees de website van de AP goed en begin in elk geval op tijd met het controleren en updaten van je bestaande procedures. Monitor dat je systemen technisch compleet en gereed zijn. Of neem een consultant in de hand wanneer het bij jou wel heel complex is of je onvoldoende eigen capaciteit hebt. 

Zorg dat vooral je interne stakeholders tijdig en volledig worden geïnformeerd. HRM zal hier wellicht een rol in hebben. Het betreft echter niet alleen je medewerkers maar ook je dagelijkse gasten, die op één of andere manier hun persoonsgegevens aan de organisatie hebben overlegd of dit nog moeten. Leg de AVG uit en wijs hen tijdig op de (nieuwe) rechten en waar nodig, ook hun plichten. Je kan natuurlijk altijd een afspraak met jouw accountmanager maken om er verder over te sparren.