Waar is AVG toepasselijk en moet mijn organisatie nalevend zijn?
De Algemene Verordening Gegevensbescherming (AVG) zal de huidige Richtlijn (Richtlijnen Gegevensbescherming 95/46/EC) vervangen. Het zal niet toepasselijk zijn voor 25 mei 2018, maar het vereist bedrijven nu te beginnen met voorbereiden, rekening houdend met enkele verplichtingen die bezwaarlijk en tijdrovend zijn om te implementeren.
Wat zijn persoongegevens?
Gebaseerd op de definitie in Artikel 2 van Richtlijn 95/46/EC, persoonsgegevens is alle informatie betrekking hebben op een geïdentificeerde of te identificeren natuurlijk persoon (“datasubject”); een te identificeren persoon is een wie kan worden geïdentificeerd, direct of indirect, in het bijzonder door een referentie aan een identificatienummer of aan een of meer factoren specifiek aan zijn fysieke, psychologische, mentale, economische, culturele, of sociale identiteit.
Wat is de EU Algemene Verordening Gegevensbescherming (EU AVG)?
Sinds 1995, Europese wetgeving heeft de oude richtlijn (EU Gegevensbeschermingsrichtlijn 95/46/EC) niet aangepast – die richtlijn was geconverteerd in lidstaten, resulterend een differentiatie van regels tussen landen van de Europese gemeenschap.
Deze nieuwe verordening (EU AVG) werd goedgekeurd op 14 april 2017, door het Europese Parlement en Europese Commissie. Het zal toepasselijk in elk land, precies zoals het is, met het effect zijnde dat alle EU landen dezelfde rechten hebben voor wat betreft de privacy van de ingezetenen.
Enkele van de meest relevante punten van de EU AVG zijn de volgende:
- Rekening houdend met de aard en het doel van het gebruik van gegevens, bepalen deze twee beide het doel en de middelen van de gegevensverwerking van de persoonsgegevens, en wie op hun beurt de gegevens beheren (Verwerkingsverantwoordelijken), om de EU AVG na te leven, zullen organisatorische maatregelen en technieken om het toereikende niveau van gegevensbeveiliging te bereiken aangaande met vertrouwelijkheid, integriteit, beschikbaarheid, en veerkracht van de systemen dat ze ondersteunen, als ook de normale validatie van de doeltreffendheid van deze maatregelen.
- Behalve de EU bedrijven, beslaat de EU AVG bedrijven van buiten de EU die goederen of diensten aan EU Datasubjects (“een geïdentificeerde of te identificeren persoon aan wie de ‘persoonsgegevens’ te relateren zijn) leveren, zelfs indien zij deze dienst gratis leveren, of dat ze het gedrag van de Datasubject monitoren binnen de EU.
- Bij de nieuwe verordening, moeten organisaties het verzamelen van gegevens en retentie minimaliseren en toestemming van de consumenten verkrijgen wanneer gegevens worden verwerkt; met andere woorden, ze dienen de verzameling van gegevens te minimaliseren, minimaliseren van gegevens die ze met anderen delen, en minimaliseren hoe lang ze het bewaren. Het doel voor de organisatie is alleen informatie te verzamelen en te bewaren die ze voor het opgezette doel nodig hebben, in het bijzonder ten aanzien van persoonsgegevens.
- De EU AVG heeft de voorgaande richtlijn aangescherpt, het recht om vergeten te worden toestaand bij eigenaars van de persoonsgegevens en om het wissen van hun gegevens verzocht door organisaties, gepubliceerd op het internet inbegrepen. De EU AVG verklaard dat “de (…) verwerkingsverantwoordelijke ze verplichting zal hebben de persoonsgegevens te wissen zonder onredelijke vertraging, in het bijzonder in relatie tot persoonsgegevens welke werden verzameld als het datasubject een kind betrof, en het datasubject zal het recht van de verwerkingsverantwoordelijke verkrijgen van het wissen van de persoonsgegevens aangaande hem of haar zonder onredelijke vertraging.”
- In het geval van een persoonsdatalek, dient het bedrijf de organisatie verantwoordelijk voor dit doel in kennis te stellen, de Autoriteit Persoonsgegevens (AP) (“de nationale toezichthoudende autoriteit, acterend met volledige onafhankelijkheid verantwoordelijk voor het bewaken van het toepassen van de gegevensbeschermingsregelgeving op nationaal niveau), binnen 72 uur na het constateren van de inbreuk. Verplichte berichtgeving van getroffen individuen hangt af van de mogelijkheid van ongeoorloofde toegang tot informatie. Berichtgeving dient niet te worden gedaan naar de Functionaris voor de gegevensbescherming, indien de inbreuk onwaarschijnlijk resulteert in een risico tot de rechten en vrijheden van individuen.
- Indien de organisatie handelt met specifieke categorieën van persoonsgegevens op grote schaal, dient het een Functionaris voor de gegevensbescherming (FG) aan te stellen als onderdeel van haar directie.
- Indien niet aan deze maatregelen tegemoet wordt gekomen, dan zijn de boetes hoog – wel tot 20 miljoen euro’s of, in geval van bedrijven, tot aan 4% van de wereldwijde jaaromzet, hetgeen het hoogste is.
Dient mijn organisatie te voldoen aan de EU AVG?
Er zijn twee types verantwoordelijkheden ten aanzien van de bescherming van persoonsgegevens: gegevens-“verantwoordelijken” en gegevens-“verwerkers.”
Het dient eveneens te worden opgemerkt dat de persoonsgegevens van werknemers inbegrepen in het toepassingsgebied van deze verordening.
Dus, de organisaties die dienen te voldoen aan de EU AVG zijn:
- Bedrijven (verwerkingsverantwoordelijken en verwerkers) gevestigd in de EU, ongeacht of het verwerken wel of niet plaatsvindt in de EU.
- Bedrijven (verwerkingsverantwoordelijken en verwerkers) niet gevestigd in de EU goederen of diensten aanbiedend binnen de EU of EU-individuen.
Hoe kunnen organisaties zich voorbereiden?
De impact van de EU AVG houdt in dat de bescherming van persoonsgegevens een zaak moet worden van vitaal belang voor het hoogste management van de organisatie Het is fundamenteel dat beleid wordt voorbereid gebaseerd op het accountabilityraamwerk en transparante regels om snelle reactie op beveiligingsincidenten en daaropvolgende datalek persoonsgegevens te verzekeren.
The adoptie van normen als de ISO / IEC 27001 Informatiebeveiliging zullen de basis zijn voor het snel bereiken van compliance met de EU AVG.
Om meer te weten over hoe de ISO 27001 kan helpen met de bescherming van persoonsgegevens, lees aub onze gratis white-paper Privacy, cyber security, and ISO 27001 – How are they related?