Nieuwe Wetgeving: Een introductie op de AVG

Nieuwe Wetgeving: Een introductie op de AVG

Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) een feit. Elke organisatie in Europa moet dan aantoonbaar voldoen aan deze wetgeving. Voor de organisaties die NPQ bediend is dit een erg belangrijke wet omdat zij vaak veel persoonsgegevens verwerken en/of in de zorg opereren.

In Nederland bestaat al enige tijd de WPB (Wet Bescherming Persoonsgegevens). Deze wet kan je zien als een voorloper op de AVG. Door de snelle veranderingen in de IT wereld wordt deze wetgeving Europees en verder aangescherpt. Dat is ook hard nodig. Denk maar eens aan alle privégegevens die grote IT-reuzen als Google, Facebook en Microsoft via hun platformen vergaren. Een gebruiker weet vaak niet wat er met die informatie allemaal gebeurd. Welke interesses je hebt, hoe oud je bent, waar je bent geweest etc. wordt allemaal verzameld en wat een gebruiker vaak niet weet, gedeeld met andere partijen.

Persoonsgegevens zijn het nieuwe goud. Om de gebruiker meer te beschermen komt Europa nu dus met de AVG. Volgens de Autoriteit Persoonsgegevens krijgen organisaties die persoonsgegevens verwerken meer eigen verantwoordelijkheid en meer verplichtingen. In Europees verband wordt de wetgeving ook wel ‘GDPR’ genoemd. Bij overtreding op de wet staan flinke boetes die kunnen oplopen tot wel twintig miljoen euro of 4 % van de jaaromzet.

Wat betekent dat voor mij als organisatie?

Om te beginnen moet er een procedure zijn om ‘datalekken’ te identificeren en te melden bij de Autoriteit Persoonsgegevens. Van een datalek is al sprake wanneer persoonsgegevens gedeeld worden met een partij, waar de persoon in kwestie geen toestemming heeft gegeven. Een persoon moet dus uitdrukkelijk toestemming hebben gegeven om zijn persoonsgegevens te mogen gebruiken en voor welk doel. Er moet het principe van ‘Privacy by default’ gelden en dataminimalisatie moet worden toegepast. Leg geen persoonsgegevens vast die niet nodig zijn. Ook als er sprake is van business to business situatie moet de toestemming geregeld zijn aangezien er altijd terug herleid kan worden naar een natuurlijk persoon. Vaak wordt dit vastgelegd in een bewerkersovereenkomst. Hierin leg je vast welke derde partijen gebruik mogen maken van persoonsgegevens en tegen welk doel. Breng de privacy risico’s van uw organisatie dus in kaart met behulp van een Privacy Impact Assesment en zorg dat toestemming in relatie tot gebruik van gegevens is geregeld.

Zorg daarnaast voor Privacy Awareness!

Voorkomen is altijd beter dan genezen. Ook voor dit thema geldt dat. Maak medewerkers bewust van de privacy risico’s. Er zijn diverse instituten die hier trainingen in verzorgen, maar besteed in de organisatie zelf hier ook aandacht aan. Wat dacht je van een ‘interne’ phishing actie en maak eens een ronde door het pand op zoek naar ‘potentiële’ datalekken. Je zult zien dat het direct effect heeft. De volgende keer zit die kast wel op slot.

Voorbereiding op de nieuwe wetgeving 

Bereid je voor op de nieuwe wetgeving door de volgende stappen te ondernemen:

  • Doe een Privacy Impact Assessment en breng risico's in kaart
  • Besteed aandacht aan Privacy Awareness
  • Zorg voor een upgrade van myPrequest voor eind mei 2018 waarin rekening is gehouden met de AVG wet
  • Onderteken de nieuwe bewerkersovereenkomst van NPQ zodra je deze ontvangt (verwacht eind 2017)

Meer weten? Neem dan contact op met Martijn Dam - Quality, Security & Privacy

Geschreven door: Martijn Dam
Nov 30, 2017

Neem contact op


Je kunt ons bereiken door een e-mail te sturen naar onderstaand adres of het contactformulier in te vullen. Natuurlijk kun je ons ook gewoon bellen.

Algemeen +31 (0) 85 - 00 22 550

Support +31 (0) 85 - 00 22 551

Contactformulier