Blog

GDPR: is uw organisatie al compliant?

In deze blog ontdekt u wat GDPR inhoudt en wat de spelregels zijn, zodat u uw organisatie kunt klaarstomen voor de toekomst.

GDPR: General Data Protection Regulation
Eerst was er al de Wet bescherming persoonsgegevens, daarna volgde de Meldplicht Datalekken. Nu is er weer een nieuwe Europese regelgeving op komst: General Data Protection Regulation (GDPR) – AVG, de Algemene Verordening Gegevensbescherming, in het Nederlands. De GDPR is van toepassing voor álle organisaties van álle groottes en in álle branches die werken met persoonlijke data – denk aan adresgegevens in webshops, nieuwsbriefinschrijvingen of gegevens salarisverwerking – van inwoners van de Europese Unie. De impact van GDPR is dan ook enorm, met als extra bijkomstigheid dat organisaties hard worden afgestraft wanneer zij na de invoering op 25 mei 2018 niet compliant zijn. Er staan hen dan zware boetes te wachten, die kunnen oplopen tot wel vier procent van de jaaromzet. De tip: schakel een GDPR-adviseur in.

GDPR: waarom en voor wie?
Mensen delen tegenwoordig hun hele leven op sociale media. Hierdoor is allerlei data jaren later nog steeds te achterhalen: geschreven woorden, foto’s, filmpjes. Ook bedrijfsmatig gezien worden er veel persoonlijke gegevens gedeeld, denk aan adresgegevens in webshops, bankrekeningnummers voor iDeal-betalingen, nieuwsbriefinschrijvingen of paspoortnummers bij het boeken van vliegtickets. Dit is de belangrijkste reden waarom de Europese Commissie GDPR in het leven roept: om de persoonlijke gegevens van EU-burgers te beschermen. GDPR is van toepassing voor álle organisaties die werken met persoonlijke data van inwoners van de Europese Unie. Niet alleen voor grote concerns dus, maar voor organisaties van álle groottes en in álle branches. En ook voor internationaal actieve concerns die feitelijk geen voet op Europese bodem hebben, maar die wel met de persoonlijke gegevens van EU-inwoners werken. De impact van GDPR is dan ook enorm, met als extra bijkomstigheid dat organisaties hard worden afgestraft wanneer zij na de invoering op 25 mei 2018 niet compliant zijn. Er staan hen dan zware boetes te wachten, die kunnen oplopen tot wel vier procent van de jaaromzet.

Wat betekent GDPR voor EU-burgers?
GDPR geeft EU-burgers de vrijheid om hun eigen persoonlijke informatie te beheren én de vrijheid om te worden vergeten. Dit laatste betekent dat zij ‘recht hebben op vergetelheid’, dus op het verwijderen van verouderde gegevens of de inzage hiervan na ten onrechte verkregen of valse informatie. Praktisch gezien betekent dit dat burgers altijd kunnen vragen om gegevensverwijdering of gegevensaanpassing.

Wat betekent GDPR voor organisaties?
Werkt u ook met persoonlijke data van EU-burgers? Dan betekent dit dat de keten van gegevensverwerking inzichtelijk moet zijn. Bij wie liggen welke persoonlijke gegevens, wie gebruikt deze gegevens en aan welke organisaties worden de gegevens doorgespeeld? U moet niet alleen controleren hoe uw organisatie zelf met deze gegevens omgaat, maar ook hoe al uw dienstverleners en partners dergelijke gegevens verwerken of opslaan. Ongeacht waar deze gegevens zich bevinden. De plaats is namelijk niet bepalend, maar het feit dat het om gegevens van EU-burgers gaat. Ook de overdraagbaarheid moet gewaarborgd zijn, dus de overdracht van persoonlijke informatie van de ene op de andere aanbieder. Dit is bijvoorbeeld het geval bij salarisverwerking of bij het ontwerpen van nieuwe software. Deze richtlijnen zorgen voor een veranderde structuur van aansprakelijkheid tussen bedrijven en dienstverleners. Afhankelijk van diverse factoren – onder meer welke gegevens u verwerkt en hoe groot uw organisatie is – kan het verder zijn dat u voor het voldoen aan de GDPR iemand moet aanstellen: een Data Protection Officer, ook wel Functionaris voor de Gegevensbescherming. Afhankelijk van uw situatie kunt u bovendien ook verplicht zijn om een PIA uit te voeren, een Proces Impact Assessment.

De teller loopt door…
En vergeet niet: GDPR is geen eenmalige actie. De Europese Commissie verwacht van u dat compliant zijn als een rode draad door uw bedrijfsvoering loopt. Kortom, GDPR is iets waar u zich dagelijks bewust van moet zijn. U zult dan ook begrijpen dat de GDPR tot een aantal grote, concrete uitdagingen leidt. Bijvoorbeeld: contracten met dienstverleners die opnieuw opgesteld moeten worden, huidige procedurebeschrijvingen die aangepast moeten worden en compliance maatregelen die opnieuw vastgelegd moeten worden. U heeft nog tot 25 mei 2018 om dit te realiseren en GDPR-compliant te worden. Maar let op, er zit een klein addertje onder het gras. Uw organisatie moet op die datum namelijk méér dan compliant zijn. Uw organisatie moet voor die datum precies weten welke informatie wordt bewaard door welke mensen, op welke toestellen die mensen werken, op welke netwerken die toestellen zich bevinden en ga zo maar door. Het is niet mogelijk om deze informatiestromen strikt te beheren als u niet honderd procent zicht en controle heeft op iedereen die binnen uw organisatie informatie in beheer heeft. Grote én kleine bedrijven hebben hierin dezelfde verantwoordelijkheid.

Schakel een adviseur in
GDPR is niet iets dat u zomaar kunt afschuiven naar bijvoorbeeld het management of uw IT-team. Het is een verantwoordelijkheid voor de hele organisatie. De zwakste schakel is daarbij de mens zelf. Wie niet op tijd kan reageren, riskeert een zware boete. Daar is de regelgeving alvast zeer duidelijk over. De tip: schakel een GDPR-adviseur in. De rol van de adviseur is het bewust maken van de problematiek en de risico’s aan het management en de rest van de organisatie. Ook helpt de adviseur u met het uitvoeren van diverse GDPR-scans. Wilt u meer weten? Neem contact op met Moja Rada voor een vrijblijvend informatiegesprek of een uitgebreide GDPR-scan.

Comments are closed, but trackbacks and pingbacks are open.