Diensten

Beveiliging & Privacy

 

Wet Bescherming Persoonsgegevens en Wet meldplicht Datalekken

De General Data Protection Regulation (GDPR), in Nederland de Algemene Verordening Gegevensbescherming (AVG) genoemd, heeft veel gevolgen voor hoe we met databeveiliging en privacy omgaan. Om de onderlinge verschillen gelijk te trekken is een Europese privacyverordening ontworpen. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 vastgesteld en zal vanaf 25 mei 2018 van toepassing zijn. Vanaf dat moment is in de hele Europese Unie één privacyregeling van toepassing.

U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor een grondslag hebben. Heeft u toestemming en heeft u dat op de juiste wijze verkregen? Kunt u straks aantonen dat u een grondslag heeft? Wat kunt u als organisatie alvast doen om per 25 mei 2018 klaar te zijn voor de nieuwe privacywetgeving?

Door de AVG worden de privacyrechten van mensen versterkt en uitgebreid. Zij krijgen bijvoorbeeld het nieuwe recht op dataportabiliteit. En een boel andere rechten. Wat moet u als organisatie doen om mensen hun rechten te kunnen laten uitoefenen?

Wanneer bent u als organisatie verplicht om een Data Protection Impact Assesment (DPIA) uit te voeren als u van plan bent om persoonsgegevens te verwerken?

U kunt onder de AVG verplicht zijn om een FG (een interne privacytoezichthouder) aan te stellen. In de GDPR is dit een Data Protection Officer genoemd. Is dit het geval voor uw organisatie? En zo ja, wat moet u daarvoor regelen?

Metde verantwoordingsplicht (accountability) dwingt de AVG organisaties om goed na te denken over hoe zij persoonsgegevens beschermen. Waar moeten organisaties or de AVG worden de privacyrechten van mensen versterkt en uitgebreid? En wat zijn precies de rechten die natuurlijk personen hebben?

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Dan krijgt u straks in principe nog maar met één privacytoezichthouder te maken, de zogeheten leidende toezichthouder. Hoe kunt u gebruikmaken van deze onestopshop-regeling?


Nederland kent al de Wet Meldplicht Datalekken die in grote lijnen dezelfde bepalingen kent als de AVG. Hoe dient u de organisatie in te richten en voor te bereiden op het melden van datalekken.
En hoe informeert u natuurlijk personen waarvan de data op de verkeerde plek terecht zijn gekomen?

Britewater Privacy en Security Managementkan  de organisatie van dienst zijn bij al deze vragen. En meer. Denk bijvoorbeeld aan het (helpen) opstellen voor een privacy en veiligheidsprotocol.  Wij kunnen als externe adviseur de expertise leveren of een Data Protection Officer in uw organisatie plaatsen. Of een Data Protection Impact Assesmant uitvoeren. Of de medewerkers en management training geven.


Bel ons voor een vrijblijvende kennismaking
085 - 06 57 399

De Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de toezichthouder voor verwerking van persoons gegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens. Binnen een organisatie kan een functionaris voor de gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de Wet Bescherming Persoonsgegevens (Wbp) binnen een organisatie. Deze functionaris wordt ook wel Data Protection Officer genoemd. Een van de zaken die veel mensen zich afvragen is ‘wanneer ben ik nu verplicht een Data Protection Officer aan te stellen en wat is zijn rol?’.

Er zijn 3 gevallen waarin een organisatie verplicht is een DPO te hebben. In de wet staat het exact beschreven, maar het komt erop neer dat je een DPO nodig hebt als:


  1. Je organisatie een overheidsinstantie of overheidsorgaan is;
  2. Als je organisatie op grote schaal mensen regelmatig of stelselmatig monitort door het verwerken van data. Hoewel er geen definitie in de GDPR staat is monitoring in ieder geval elke vorm van tracking en profilering op internet of offline. Dus ook behavioural advertising, of e-mail retargetting vallen hieronder;
  3. Als je data verwerkt die valt in een van de bijzondere categorieën van persoonlijke gegevens. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levens beschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten. Voor het mogen verwerken van al deze gegevens gelden overigens sowieso bijzondere aanvullende regels.

U dient vanaf 25 mei 2018 uw zaakjes op orde te hebben. Is dat niet het geval en is er in de organisatie geen of onvoldoende aandacht aan gegeven, dat riskeert u hoge boetes!


Ben ik verplicht een DPO te hebben?

© 2019 BriteWater Consultants / Algemene voorwaarden / Disclaimer / Ontwerp en realisatie: ESENS DESIGN