Brochure Stibbe Compliance en Sancties Groep - Nederlandse versie
Whitepaper impact feb 2017
1. De impact van de Europese privacy-verordening op uw (MKB) organisatie.
Geschreven door Theo Kusters, CIPP/E, Data Protection Officer
Venlo
De impact van de
Europese Privacy
wetgeving
Whitepaper van PrivacyCollectief
2. PrivacyCollectief helpt organisaties met trainingen en met een workshop om een privacy-missie en gedragsregels op te stellen.
Een belangrijke wijziging in deze verordening ten
opzichte van de bestaande regelgeving (in
Nederland o.a. de Wet Bescherming
Persoonsgegevens, Wbp) is dat u als organisatie
moet kunnen aantonen dat u maatregelen
genomen hebt om te voldoen aan de eisen. Dat
geldt voor alle organisaties die persoonsgegevens
verzamelen of bewerken.
Beheersen van risico’s.
Privacy Impact Assessment.
Vaak blijkt dat de risico’s in relatief kleine
organisatie niet zo groot zijn, u zit er als directie
immers bovenop. Toch zult u straks “op een
proportionele wijze” de risico’s moeten afdekken
én kunnen aantonen dat u ze afgedekt hebt. In
ieder geval moet u, als het verwerken van
persoonsgegevens risico’s voor de betrokkenen
inhoudt, een Privacy Impact Assessment (PIA)
moeten (laten) uitvoeren. U toont daarmee aan
dat u de risico’s in kaart gebracht hebt en tevens
welke maatregelen u neemt om die risico’s naar
behoren af te dekken en zo te voorkomen dat er
datalekken kunnen ontstaan. Houdt u rekening
met hoge boetes als onder uw
verantwoordelijkheid een datalek is ontstaan.
Datalekken die de media halen kunnen leiden tot
reputatieschade en zelfs tot het verlies van
belangrijke klanten.
In de praktijk is “100% waterdicht” als het gaat
over risico’s afdekken haast niet mogelijk. Wees
daarom op uw hoede voor juristen en consultants
die dat beloven. Ze kosten een vermogen en de
kans dat ze uw bestaande bedrijfsprocessen gaan
verstoren, is groot. Beter is het een adviseur in de
arm te nemen die u keuzes voorlegt hoe u met
privacyvraagstukken binnen de AVG kunt omgaan
en die passen binnen uw bedrijfsvoering.
Iemand die kiest voor een pragmatische aanpak,
rekening houdt met de risico’s die uw organisatie
loopt én die u wijst op de risico’s die de personen
lopen waarvan u de gegevens verzamelt, verwerkt
en opslaat. Dat laatste mag u overigens in de
nieuwe wet alleen onder strikte voorwaarden
doen.
PrivacyCollectief helpt u graag met het uitvoeren
van een Privacy Impact Assessment (PIA).
Uitbesteden van verwerking en opslag van
persoonsgegevens.
Veel bedrijven besteden onderdelen van digitale
bewerkingen uit. Denk hierbij aan opslag bij een
datacenter of toepassing van software in de cloud
bij een leverancier. Het is een misverstand om te
denken dat u door de verwerking uit te besteden
niet meer aansprakelijk bent voor de veilige
verwerking; zolang u bepaalt wat het doel is van de
verwerking en wat de middelen zijn waarmee dat
gebeurt (why en how), bent u verantwoordelijk én
aansprakelijk. Als u verwerkingen (vroeger
“bewerkingen” genoemd) uitbesteedt, zult u zeer
duidelijke, door de wet genoemde afspraken in
een overeenkomst met deze verwerkers moeten
maken. Deze afspraken betreffen o.a. de
Whitepaper van PrivacyCollectief
De impact van de Europese privacy-verordening op uw (MKB) organisatie.
Vanaf 25 mei 2016 is de tekst van de nieuwe Algemene Verordening Gegevensverwerking (AVG), in het
Engels “General Data Protection Regulation” (GDPR), definitief en moeten organisaties in de hele
Europese Unie hun bedrijfsvoering met de AVG in overeenstemming brengen. Daar hebben ze tot 25 mei
2018 de gelegenheid voor.
3. PrivacyCollectief helpt organisaties met trainingen en met een workshop om een privacy-missie en gedragsregels op te stellen.
beveiligingsmaatregelen rondom de door u
ingeschakelde derde verwerkers. Vaak zal een
verwerker, bijvoorbeeld een bureau dat uw
salarisadministratie verzorgt, u een
verwerkersovereenkomst aanbieden. Het verdient
aanbeveling om die overeenkomst te laten
controleren op volledigheid en juistheid in het
kader van de nieuwe privacywetgeving. U blijft
immers verantwoordelijk.
PrivacyCollectief biedt een check op
verwerkersovereenkomsten aan tijdelijk vanaf
slechts € 97,-- ex BTW. Zie www.privacycollectief.nl
Awareness training voor uw personeel.
Gedragsregels.
In de nieuwe privacywet zijn organisaties verplicht
om een opleidings- en bewustwordingsprogramma
uit te voeren voor medewerkers die met
persoonsgegevens omgaan. Vaak is het voldoende
om daar jaarlijks een dagdeel aan te besteden.
Medewerkers zullen zich wat makkelijker uiten
over risico’s en eventuele misstanden die ze in de
dagelijkse praktijk tegenkomen als u deze training
door een externe partij laat uitvoeren.
U dient een privacy-beleid op te stellen en het is
zinvol om dat in een privacy-missie als
uitgangspunt te formuleren. Deze missie dient als
“kapstok” om al uw toekomstige activiteiten te
kunnen toetsen. Een voorbeeld van zo’n missie is:
‘directie en medewerkers van XX zijn zich bewust
van het risico en de mogelijke gevolgen van
ongeoorloofd gebruik van persoonsgegevens. Alle
stakeholders mogen er dan ook op vertrouwen dat
deze gegevens bij ons op een veilige en zorgvuldige
manier worden verwerkt en dat onze activiteiten
tenminste voldoen aan de geldende wetgeving.’
Mooie woorden en met de beste bedoeling maar
ze moeten wel vertaald worden naar gedragsregels
voor alle medewerkers. Gedragsregels die
gebaseerd zijn op de “fair information principles”
die op hun beurt weer als uitgangspunt voor de
Europese privacy wetgeving dienen.
PrivacyCollectief biedt diverse workshops om uw
medewerkers bewust te maken van de noodzaak
om persoonsgegevens te beschermen.