Blijf op de hoogte:

Contact: 033-7410041

Blogs

De nieuwe privacywetgeving: GDPR/AVG

Michiel Overgaag
0

GDPR lijkt een feestje voor overheidsinstellingen. Mede daarom laat het bedrijfsleven de publieke sector op zich uitlopen. In stijl met de oude Wet Bescherming Persoonsgegevens. Een ondernemer gaat nou eenmaal met nog meer tegenzin extra administratieve lasten aan. En als je bijvoorbeeld van de NVWA vier uur de tijd krijgt voor Track&Trace van je productieketen, heb je zo je prioriteiten. Bij een lek van persoonsdata krijg je straks wel 72 uur de tijd. Er wordt wel geroepen over boetes. Voor wie is die boete en blijft de pakkans zo laag als nu?

De handhaving wordt verplicht door de EU. De autoriteit heeft budget voor het inzetten van mensen. Niet zozeer een boete is je risico, maar reputatieschade wordt reëel. Kortom, ook het bedrijfsleven moet hier iets mee. 

GDPR een administratieve verplichting.png

 

Wat doen bedrijven al aan de GDPR?

Er wordt nog niet heel veel aan de GDPR gedaan. Reden is dat men het volgende niet vrijmaakt:

  • Tijd (33%)
  • Capaciteit (25%)
  • Kennis(10%)
  • Heeft andere prioriteiten (15%)

Ongeveer 36% van de organisaties werkt al aan de GDPR. Opvallend is dat veel van deze vroege vogels zich richten op de zogenaamde meldplicht van datalekken. Over de brede linie heerst aarzeling in de profitsector. Hoe krijg ik vat op de persoonsgegevens in mijn legacy systemen? Hoe krijg ik de vereiste toestemming van mijn klanten, zonder het hen te verleiden zich te laten schrappen uit mijn bestand? Hoe creëer ik onder de medewerkers een cultuur van juiste betrokkenheid met (persoons)data?

 

Wat is er nieuw aan de GDPR?

Enkele highlights over wat de nieuwe regulering verlangt:GDPR mind the gap.png


De “nieuwe” regulering

De nieuwe GDPR komt voor 95% overeen met de oude privacywetgeving, de WBP. Wat een verschil maakt, is dat de Autoriteit Persoonsgegevens (AP) er nu meer werk van moet maken en dat we meer veroordelingen en reputatieschade tegemoetzien.


Verantwoordelijkheden

De GDPR legt veel nadrukkelijker de rechten bij de burger en de verantwoordelijkheid bij de organisatie die met persoonsgegevens werkt.


Passend (doelbinding)

Van de WBP moet het gebruik al passen bij een geboden service. Een ziekenhuis mag iets met jouw geneeskundige data, de bank mag iets met jouw transacties. Het nieuwe is dat je de grondslagen voor deze ‘doelbinding’ zowel bij de klant als aan de Autoriteit Persoonsgegevens moet tonen.


Toestemming

Je moet de klant laten zien wat je met zijn gegevens van plan bent. De klant moet ook toestemming voor dat gebruik hebben gegeven. Zo niet dat mag je de gegevens niet in jouw systemen of bij jouw verwerkende partij onderbrengen. Indien de klant het aangeeft, moet je zijn gegevens zelfs verwijderen of slechts tot een einddatum gebruiken. Dit laatste heeft impact op de IT systemen.


Gevoelige data

De regulering is veel explicieter over persoonsgegevens. Vooral gegevens waarbij een burger extra risico’s loopt. Denk aan ras, religie, geneeskundige gegevens etc. Belangrijk is identificerende data. Alle gegevens die misbruikers tot een uniek persoon kunnen leiden, hebben hoge aandacht. Denk hierbij niet alleen aan kentekens of burgerservicenummers, maar bijvoorbeeld ook aan de IP-adressen in jouw online marketingsysteem.


Meldplicht 72 uur

Mocht er onder jouw verantwoordelijkheid een lek of mogelijk lek van persoonsgegevens optreden, dan moet je dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens, aan de betrokken klanten en aan de betrokken partijen in jouw informatieketen.

“Uber” meldde in november 2017 veel te laat een lek uit 2016. En hoewel het regime pas per mei 2018 van kracht gaat, reageert de European Data Protection Supervisor fanatiek.

 

Aanpak van de GDPRGDPR een grote veranderopgave.png

De GDPR geldt per 25 mei 2018 voor alle organisaties. Hierna volgt de lijst met punten die onder de GDPR vallen. Afhankelijk van jouw specifieke situatie en van de gegevens die je gebruikt, kan je hiermee snel bepalen waaraan gewerkt moet worden.

Ons GDPR plan van aanpak geeft je een uitgewerkt plan van aanpak. Deze kun je hier downloaden.


Analyse en Rechtvaardiging

Waar wijken we af van de nieuwe regulering? Waar zitten de risico’s? Maak keuzes voor te behalen voordelen en gewogen risico’s. Aan de basis hiervan voer je een assessment uit. De inspanning hiervoor is afhankelijk van je business en de gebruikte persoonsdata.

Leg een register aan van geplande processen, data, verantwoordelijken en contracten met derden.


Plan de aanpassingen

Herontwerp de processen waarin met persoonsgegevens wordt gewerkt. Vereenvoudig deze processen en de gebruikte data tot het noodzakelijke of terwijl minimalisering. Verander de betrokkenheid bij persoonsgegevens. Plannen en ontwerpen moeten voortaan privacy in het achterhoofd houden, privacy by design. Alle aan de klant voor te stellen instellingen van de omgang met zijn data staan voortaan standaard op maximale privacy voor de klant, privacy by default. Pas de afspraken met verwerkende partijen aan. Wordt jouw bedrijfsinformatie buiten de deur bewaard en bewerkt dan heeft de betreffende partij nu ook zijn verantwoordelijkheden. Als er een lek van persoonsgegevens optreedt moeten jij en de verwerkende partij een proces op de plank hebben liggen om zo snel mogelijk in te grijpen en het lek binnen 72 uur te melden.


Implementeer en test

Bepaal of de gemaakte aanpassingen naar behoren werken en zet ze voor 25 mei 2018 in werking. Stel voor het regime dat per 26 mei ingaat een nieuwe attitude in werking. Maak periodiek een scan van de omgevingen en leg de bevindingen vast. De autoriteit mag hiernaar vragen.

 

De GDPR brengt voordeel

Vertrouwen is belangrijk bij de GDPR.png


Klantvertrouwen

De regulering is opgezet om de EU-burger beter te beschermen. Dat klinkt meeslepend. Maar als je de klant het gevoel meegeeft dat hij bij jou veilig is, dan schept dat vertrouwen. Het wordt goed zakendoen met klanten die, bewust geworden door de privacy hype, nu al expliciet kiezen voor jouw service. Daarnaast is er ook een reden om weer met jouw klanten in gesprek te gaan over hun wensen met betrekking tot privacy.


Betrouwbare data

Aan de meeste innovaties die momenteel de markt op gaan, ligt blind vertrouwen in digitale informatie ten grondslag. Een goed begin met de persoonsgegevens, maakt de feitelijkheid beter en daarmee de effectiviteit van je marketingcampagnes en sales aansturing. Dat smaakt naar meer.

 

GDPR is een opstap naar Datamanagement


Digitalisering

We willen onze operatie en dienstverlening excellent maken. Daarvoor gaan we de business foutloos en relevant aansturen met data. Bij voorkeur digitale data. Dit gaat om je markt, je grondstoffen, je voorraden, je medewerkers, je equipment, al je transacties en om je persoonsgegevens. Deze data moet betrouwbaar en continu beschikbaar zijn.

GDPR onderdeel van datamangement.png


Datakwaliteit

De GDPR is een opstapje. Deze dwingt ons nu tot een hoger niveau van bewustzijn. Duidelijk wordt dat niet alleen de IT’ers wat aan data hebben te doen. Het laat zien dat een beetje kwaliteit niet meer voldoet. De GDPR dwingt ons tot een betere aanpak. Bedenk welke andere data straks ook sturend wordt voor jouw digitale strategie. Gebruik de GDPR als een pilot om data de baas te worden.

Direct aan de slag met de GDPR? Neem dan contact op met Michiel Overgaag.

 

GDPR plan van aanpak

Er staat voor organisaties het nodige te doen om 25 mei 2018 te halen. Het kan in de tijd die vanaf nu nog beschikbaar is, maar het is wel verstandig om direct te beginnen. Het plan van aanpak geeft je handvatten waarmee je concreet aan de slag kunt. Aan de hand van vier fases word je meegenomen in het implementatieproces van de GDPR. 

New Call-to-action

 

 

GDPR, Wat is de GDPR, wat zijn de veranderingen van de GDPR?, Stappenplan GDPR, Plan van aanpak, 25 mei 2018, Wat is de rol van de autoriteit persoonsgegevens?, Autoriteit Peroonsgegevens, AVG, Wat is de AVG, Datamanagement, Wat is de Algemene verordening Gegevensbescherming, Algemene Verordening Gegevensbescherming