Vanaf 25 mei 2018 worden alle organisaties geacht te voldoen aan de nieuwe Europese privacy wetgeving: General Data Protection Regulation. Wat gaat er veranderen? En wat betekent dit voor uw organisatie?
Op 25 mei 2018 treedt er een nieuwe privacy wetgeving in werking voor alle landen binnen de Europese Unie: General Data Protection Regulation (GDPR). De GDPR vervangt de huidige EU-privacyrichtlijnen.
De belangrijkste wijzigingen zijn:
- Privacyautoriteiten willen organisaties een boete van maximaal 4% van de wereldwijde omzet opleggen als zij in overtreding zijn. Denk bijvoorbeeld aan het niet veilig opslaan van persoonsgegevens van klanten of het per ongeluk lekken van gevoelige informatie over klanten. Zo'n lek moet verplicht worden gemeld aan de privacyautoriteit (de Autoriteit Persoonsgegevens).
- Intern beleid rondom informatiebeveiliging wordt veel belangrijker. Zo worden er eisen gesteld als het gaat om interne procedures voor datalekken, verwerkingen van persoonsgegevens en de privacyverklaring van organisaties. Deze verklaring moet inhoudelijk worden aangescherpt en in begrijpelijke taal geschreven zijn.
- Bedrijven met meer dan 250 medewerkers en die met gevoelige informatie werken zijn verplicht om een 'Chief Privacy Officer' (CPO) aan te stellen die toezicht houdt op de privacyzaken binnen het bedrijf. Daarnaast zijn deze organisaties verplicht om een register bij te houden van alle verwerkingen van persoonsgegevens.
Waarom deze verandering?
Volgens de Europese Commissie en het Europees Parlement sluit de huidige wetgeving niet langer aan op de constante veranderingen in de digitale wereld. Om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU is deze nieuwe wetgeving aangenomen.Is deze nieuwe Europese Privacy wetgeving ook voor mij van toepassing?
Jazeker! Alle organisaties binnen de Europese Unie worden geacht hieraan te voldoen. Van organisaties die met gevoelige informatie werken, zoals bijvoorbeeld persoonsgegevens binnen de zorgsector, wordt meer geƫist. Ook zal er vanuit de wet hier strenger op worden toegezien.Hoe kunt u zich op deze nieuwe wetgeving voorbereiden?
- De van toepassing zijnde wetteksten kunt u vrijblijvend downloaden van de website van de autoriteit persoonsgegevens (www.privacycommission.be/nl).
- Bestudeer de paragrafen van de wettekst en analyseer in hoeverre uw organisatie voldoet of kan voldoen per artikel. Ontbreekt het uw organisatie aan vereiste kennis en/of tijd dan kunt u een assessment van een onafhankelijke expert overwegen.
- Bent u reeds officieel gecertificeerd volgens ISO 27001 en/of NEN 7510 dan voorziet uw managementsysteem in een beleid dat beschrijft hoe er moet worden omgegaan met van toepassing zijnde wet- en regelgeving. Alle wettelijke en regelgevende eisen evenals de manier waarop de organisatie hiermee dient om te gaan moet namelijk worden vastgesteld, gedocumenteerd en actueel gehouden.