20 juni 2017

In 10 stappen naar privacy compliance

Business partner nieuws

Slot in een wolk met nullen en eentjes op de achtergrond

Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Net zoals bij elke nieuwe wet die het bedrijfsleven krijgt opgelegd, roept de implementatie van de nieuwe privacywetgeving bij veel organisaties nog veel vragen op. Bedrijven hebben dus nog bijna een jaar om zich goed voor te bereiden op de AVG.
De AVG geldt voor de hele Europese Unie (EU) en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wet versterkt privacyrechten van consumenten én zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Overtredingen van deze wet kunnen oplopen tot boetes van € 20 miljoen of 4% van de wereldwijde jaaromzet.

De Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), adviseert organisaties op tijd te beginnen met de voorbereidingen op de nieuwe privacywetgeving. Om organisaties hierbij te helpen heeft de AP tien stappen benoemd die organisaties nu moeten nemen om straks AVG-proof te zijn.

Maar wat zeggen deze tien stappen nou eigenlijk? Ze zijn namelijk nog weinig concreet. In de vernieuwde DMCC 2 GO App vind je alle tien stappen met uitleg en tips van DMCC. Zo lees je vandaag hoe je morgen aan de slag kunt.

Belangrijkste stappen

In onderstaand overzicht zet ik de drie belangrijkste punten en bijbehorende tips op een rij:

1.    Bewustwording

Wist je dat de meeste datalekken die bij de AP zijn gemeld het gevolg zijn van menselijke fouten? Bewustwording creëren bij medewerkers over de nieuwe privacyregels is dan ook de eerste stap van de AP.

Tip van DMCC: Maak privacy onderdeel van een verplicht curriculum voor alle medewerkers. Imiteer bijvoorbeeld binnen de organisatie een “phishing”-aanval: stuur medewerkers een nepmail, waarin ze worden gevraagd online vragen te beantwoorden of te klikken op een weblink. Veel werknemers gaan hierbij de fout in. Het is dus een goed middel om het belang van privacybewustzijn aan te tonen.

2.    Rechten van betrokkenen

Er is altijd een ongelijke machtsverhouding tussen je organisatie en degenen in je bestand, de zogenoemde ‘betrokkenen’. De wet geeft hen een aantal rechten om die verhouding minder scheef te maken, zoals het recht zich te verzetten tegen direct-marketingactiviteiten. Je moet ook invulling geven aan het recht op overdracht van gegevens. Mensen in je bestand moeten de gegevens die zij zelf hebben afgegeven, op verzoek kunnen terugontvangen in een gangbaar digitaal formaat of je moet deze informatie, indien dit niet te veel moeite kost, doorsturen naar andere aanbieders. Tot slot moet je ook kunnen voorzien in het Recht op vergetelheid (Right to be forgotten). Dat betekent dat je in een aantal gevallen persoonsgegevens onherroepelijk uit alle bestanden moet verwijderen.

Tip van DMCC: Je moet je procedures updaten en bedenken hoe je dergelijke verzoeken honoreert. Als je organisatie veel verzoeken krijgt, moet je een logistiek proces inrichten om deze sneller af te handelen. Of je moet online een ‘Mijn omgeving’ inrichten waar betrokkenen zelf zaken kunnen inzien en wijzigen.
•    In de meeste gevallen mag je organisatie geen geld vragen om uitvoering te geven aan verzoeken tot inzage, correctie en verzet, verwijdering en dataportabiliteit.
•    Je moet binnen een maand actie ondernemen.
•    Je mag verzoeken die ongegrond of bovenmatig zijn weigeren. Als je een verzoek weigert, moet je wel uit kunnen leggen waarom en aangeven dat de betrokkene een klacht kan indienen bij de AP.

3.    Overzicht verwerkingen
De wet verplicht je tot het aanleggen van een verwerkingenregister. Een soort privacy-administratie die aangeeft welke gegevens je waarvoor verzamelt, via welke kanalen, in welke systemen en met welke beheersmaatregelen.

Tip van DMCC: Inventariseer gegevensstromen in je organisatie (informatie-audit). Ga langs verschillende afdelingen en praat daar met proceseigenaren. Maak ze medeverantwoordelijk voor het in kaart brengen van je verwerkingen van persoonsgegevens. Welke persoonsgegevens verwerk je voor welk doeleinde? Aan wie verstrek je deze gegevens. Hoe gebruik je deze gegevens zelf en is dit rechtmatig? Hoe heb je de gegevens beveiligd en zijn deze maatregelen adequaat? Deze inventarisatie kost tijd. Naast een goede structuur voor de informatie-audit en inhoudelijke kennis van wet- en regelgeving is er ook strak projectmanagement nodig.

Tot slot

De tien stappen zijn een goed uitgangspunt om je voor te bereiden op de nieuwe wetgeving. Met de uitleg en tips erbij hebben we geprobeerd het in ieder geval een stuk duidelijker te maken en je meer handvatten te geven. Wacht niet te lang om ermee aan de slag te gaan en aarzel niet om hulp in te roepen. DMCC kan op alle punten bijdragen. Het volledige overzicht van de tien stappen vind je in de app: DMCC 2 GO App.

Over de auteur

Auteur Jitty van Doodewaerd, compliance auditor bij DMCC Nederland.

Word ook business partner van Thuiswinkel.org!

Business partners van Thuiswinkel.org zijn dé bedrijven die samen met ons werken aan een sterke en gezonde e-commerce branche. Als business partner profiteer je van vele voordelen:
  • Vertrouwen van klanten
  • Exclusieve toegang tot netwerkbijeenkomsten van Thuiswinkel.org
  • E-commerce onderzoeken en rapporten
  • Exposure op de website van Thuiswinkel.org
  • Thuiswinkel Business Partner Reviews
Word ook business partner