Na vier jaar van discussie en voorbereiding, wordt op 25 mei 2018 de General Data Protection Regulation (GDPR) van kracht. Dit is de Europa-brede wet die in de plaats komt van de landelijke privacy- en databeveiligingsrichtlijnen van alle EU-lidstaten. Met nog minder dan een jaar te gaan, is het belangrijk om nu in actie te komen.
In Nederland is de GDPR bekend als de Algemene Verordening Gegevensbescherming (AVG). Het is een veelomvattende en ingrijpende wet, die impact heeft op alle organisaties waar persoonsgegevens omgaan. Wie niet aan de regels voldoet, riskeert enorme boetes die kunnen oplopen tot 20 miljoen euro.
De AVG heeft gevolgen voor elke organisatie die met persoonsgegevens werkt. Dat betekent in de praktijk dus vrijwel elk bedrijf en elke instelling. Zeker voor zorg en onderwijs, waar de hele organisatie ongeveer draait op persoonsgegevens, zijn de nieuwe richtlijnen ingrijpend. De AVG gaat niet alleen om de technologische bescherming van data en persoonsgegevens. De techniek moet uiteraard op orde zijn, maar het gaat vooral om organisatorische en procesmatige maatregelen.
Een beknopt overzicht van de belangrijkste aspecten uit de AVG voor de zorg
Privacy als standaard – In de AVG is nu wettelijk vastgelegd dat privacy het uitgangspunt moet zijn: ‘privacy by design’. Dat betekent dat bij de ontwikkeling van een systeem databescherming een standaard onderdeel is.
Meldplicht – Vorig jaar werd in Nederland de Meldplicht Datalekken (onderdeel van de Wet bescherming persoonsgegevens) al van kracht. Binnen 72 uur moet een datalek gemeld worden bij de Autoriteit Persoonsgegevens (AP). In de AVG blijft die meldplicht bestaan, alleen is in de Europese wetgeving de opvatting van het begrip datalek breder.
Rechten van de ‘datasubjecten’ – De rechten van degenen die zijn opgenomen in een gegevensbestand worden uitgebreid. Databeheerders moeten onder de nieuwe AVG op verzoek aangeven of de gegevens van diegene worden verwerkt, waar dat gebeurt en waarom. Bovendien moet de beheerder op verzoek een gratis digitale kopie van de opgeslagen gegevens verstrekken. Wie opgenomen is in een gegevensbestand heeft ook het recht ‘vergeten’ te worden – op verzoek moet de data, onder voorwaarden, gewist worden. De persoonsgegevens moeten ook zonder moeite overdraagbaar zijn naar een andere beheerder.
Data protection officer – Grote organisaties moeten een data protection officer aanstellen – een Functionaris Gegevensbescherming (FG) . Dat mag een interne functionaris zijn, maar mag ook door een externe dienstverlener worden ingevuld.
Boetes – Wie niet voldoet aan de Europese regelgeving riskeert hoge boetes. De maximumboete bedraagt 4 procent van de jaaromzet of 20 miljoen euro (het hoogste bedrag telt). Voor het niet op orde hebben van databestanden en het niet melden van datalekken aan de AP en de personen wier gegevens het betreft, geldt een maximumboete van 2 procent van de jaaromzet.
De impact van de AVG is groot en de invoering is aanstaande. Bent u zich bewust van de nieuwe regelgeving en weet u wat u moet doen om compliant te zijn? Winvision ondersteunt u graag bij de inrichting van de technologische en procesmatige maatregelen om te voldoen aan de AVG.
Meer informatie: www.winvision.nl
