Per 25 mei 2018 zal er een wijziging zijn in de wet met betrekking tot de bescherming van persoonsgegevens. Ook wel: algemene verordening gegevensbescherming (AVG/GDPR). Deze wet legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat uw organisatie voldoet aan de privacyregels.
Is uw organisatie klaar voor de AVG/GDPR, voldoet u aan alle eisen of twijfelt u? Wij kunnen uw organisatie scannen op de veiligheid en voorzien van de juiste technische maatregelen.
Er zijn erg veel verschillende soorten persoonsgegevens. Denk hierbij voornamelijk aan een naam, adres en telefoonnummer. Deze worden door de wet extra beschermd. Toelichting op persoonsgegevens van de wet: artikel 1.
De nieuwe regels dwingen organisaties om goed na te denken hoe de persoonsgegevens worden verwerkt en beschermd. De verantwoordingsplicht die ingesteld wordt houdt in dat organisaties moeten kunnen aantonen dat de privacygegevens verwerkt worden aan de hand van de regels van de AVG/GDPR.
Organisaties moeten kunnen aantonen dat de verwerking aan de volgende aspecten voldoet: rechtmatigheid, transparantie, doelbinding en juistheid. Tevens moet er aangetoond kunnen worden dat de juiste technische maatregelen zijn genomen om persoonsgegevens te beschermen.
Toestemming
Met de komst van de nieuwe AVG/GDPR is er voortaan toestemming nodig van mensen (klanten / patiënten) om hun gegevens te mogen verwerken. Wil uw klant niet dat zijn/haar gegevens worden verwerkt? Dan hebben zij het recht om hun toestemming in te trekken.
Dataminimalisatie
Dataminimalisatie houdt in dat u niet té veel gegevens van uw klanten mag verwerken. Dit betekent dat u niet meer informatie mag vragen dan wat nodig is om het systeem compleet te krijgen.
Functionaris van gegevensbescherming
Bent u werkzaam in de gezondheidszorg of verwerkt u gevoelige persoonsgegevens? Organisaties kunnen volgens de AVG verplicht worden om iemand aan te stellen als een functionaris van gegevensbescherming. Dit is iemand die toezicht houdt op het naleven van de AVG.
Documenteren
Deze beoordeling wordt officieel de Data Protection Impact Assessment (DPIA) genoemd. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Om vervolgens de juiste maatregelen te kunnen nemen om deze risico’s te verkleinen.
Organisaties hoeven niet voor elke gegevensverwerking deze DPIA uit te voeren. Dit is enkel verplicht als een gegevensverwerking een hoog privacyrisico’s oplevert voor de betrokkenen (klanten, patiënten).
Wanneer u niet aan de eisen voldoet van de AVG/GDPR zijn zij bevoegd om hoge boetes op te leggen.