Ben jij al bekend met de nieuwe data-wet, de AVG of GDPR? Vorig jaar schreef ik er al even over, maar vanaf 25 mei moet je er aan voldoen! Al ben je een eenmanszaak, promotieleverancier of kleine ondernemer, je moet je houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming. Deze data-wet komt in de plaats van de huidige Wet bescherming persoonsgegevens. En is veel strenger. De DDMA heeft hier een mooi artikel over geschreven om het uit te leggen. Dit zijn de 10 punten waar je op moet letten:
1. Zorg dat de data-wet leeft
Maak iemand binnen jouw organisatie volledig bewust en verantwoordelijk voor wat er moet gebeuren binnen jouw organisatie. De data-wet is niet alleen een data-aangelegenheid, maar heeft ook een juridisch en beveiligingskant.
2. Teken je data-flow
Je moet kunnen aantonen dat je je aan de wet houdt. Het is dus verplicht om een ‘verwerkingsregister’ bij te houden. Hierin moet staan wie er bij de data kan en waarom. Maar ook wat de bron is en wie er allemaal betrokken zijn.
3. Bewerk je veel gegevens? stel een FG aan
Als je bijzondere persoonsgegevens (bijvoorbeeld bankgegevens) op flinke schaal bewerkt of om andere redenen risico loopt met belangrijke gegevens, heb je een data protection officer of functionaris gegevensbescherming (FG) nodig. Als dit voor jou geldt, vergeet dan niet de FG aan te melden bij de Autoriteit Persoonsgegevens.
4. Werk met dataminimalisatie
Dit betekent dat je geen data bewerkt of opslaat die je niet nodig hebt voor het verwerken van de gegevens. Hier moet je ook als je een app hebt rekening mee houden. Nu moet je app of site namelijk zo staan dat de klant bewust privacy gegevens met je deelt. Dus de standaard instellingen moeten uitstaan qua delen van gegevens, privacy by default noemen ze dat.
5. Sluit een bewerkersovereenkomst
Verstuur je wel eens wat via een drukkerij? Heb je een webbouwer? Of laat je wel eens je bureau aan de knoppen van je e-mailprogramma? Dan moet je met hen (en alle partijen die zij gebruiken) verwerkers- of bewerkersovereenkomsten sluiten.
6. Wees technisch voorbereid
Klanten hebben straks het recht om vergeten te worden. Dus niet allen om uit te schrijven, maar om helemaal uit jouw database verwijderd te worden, overal! Ook moet je het mogelijk maken om hun gegevens te delen. Houd hier technisch rekening mee.
7. PIA wordt verplicht
Met een PIA (privacy impact assessment) beoordeel je het effect van een specifieke verwerking van persoonsgegevens. Dit is een verplicht onderdeel van de nieuwe data-wet. Je moet hierin opnemen welke gegevens en waarom worden verwerkt/bewaard. Hier komen dan privacyrisico’s uit, die eventueel verbeterd moeten worden en soms gemeld.
8. Geef niet iedereen toegang
Onder de nieuwe data-wet moet je bewijzen dat, wanneer, hoe en waarvoor iemand toestemming heeft om aan data te zitten. Hier moet die persoon toestemming voor hebben en deze toestemming moet eenvoudig terug te trekken zijn.
9. Stel je eigen beleid op
Denk bij het opstellen van je databeleid aan toegangscontrole, logging van bewerking, fysieke maatregelen voor toegang, encryptie, controles, beheer van back-up en beveiliging van je netwerk. Het klinkt allemaal heel heftig, maar het is dus de nieuwe wet! En helaas moet iedereen dus voldoen aan deze nieuwe data-wet vanaf 25 mei!
10. meld je data-lek
De meldplicht data-lekken blijft bestaan. De eigenaar van de data blijft dus verplicht een lek binnen 72 uur te melden bij de toezichthouder. Als jij de data voor iemand anders bewerkt, ben je verplicht om binnen 24 uur de lek bij je opdrachtgever te melden.
Hier lees je het hele artikel of tips van de DDMA.