Autoriteit Persoonsgegevens

WBP, AVG en GDPR

Misschien zegt u dat er binnen uw organisatie niet veel persoonsgegevens worden bijgehouden. En dat het waarschijnlijk niet zo’n vaart zal lopen. Immers, de WBP is er al vanaf september 2001 en u hebt sindsdien bijna niets vernomen. Waarom nu al die aandacht?

De afkortingen
WBP is de Wet Bescherming Persoonsgegevens. Deze wet is in mei 2016 vervangen door de Algemene Verordening Persoonsgegevens (AVG) en organisaties moeten uiterlijk mei 2018 aan de AVG voldoen. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. General Data Protection Regulation (GDPR) is de engelse variant van AVG.

Persoonsgegevens
U mag gerust persoonsgegevens bijhouden. De AVG zegt dat u het doel ervan moet vastleggen. Persoonsgegevens die niets met dat doel te maken hebben, mag u niet meer vastleggen. Bijvoorbeeld de geboortedatum, als dit persoonsgegeven geen enkel doel dient, dan mag u dit niet meer vastleggen.

Daarnaast krijgen alle personen het recht om vergeten te worden. U kunt dus zo’n verzoek krijgen en dan zult u alle gegevens van de persoon moeten verwijderen. Als u dan niet weet waar al deze persoonsgegevens staan, dan kunt u de verplichting om al deze gegevens te verwijderen niet nakomen. De AP kan u hierop aanspreken en beboeten.

Autoriteit Persoonsgegevens (AP)
Wanneer u persoonsgegevens digitaal bijhoudt, zoals bijvoorbeeld op een computer, dan moet u dat melden bij de AP. Als persoonsgegevens digitaal worden gestolen of als u bijvoorbeeld een USB stick met persoonsgegevens verliest, dan moet u dit datalek melden bij de AP. Een datalek kan voorkomen, maar u moet deze wel melden. Is de datalek is ontstaan vanuit een onbeveiligd systeem, dan kan de AP u hierop aanspreken en beboeten.

Maak goede afspraken met uw ICT leverancier, want die weet hoe digitale persoonsgegevens verwerkt worden en hoe deze beveiligd moeten zijn. Leg de afspraken vast in een verwerkersovereenkomst.

Beveiliging
De AVG bepaald dat organisaties alle beschikbare, bereikbare en betaalbare beveiligingen moeten toepassen. Dat betekent dat u uiteraard een goed en bijgewerkt anti-virus pakket moet hebben. Dat u ook een actieve firewall moet hebben en dat de windows systemen continu bijgewerkt moeten zijn. Tevens moet u zorgen voor een veilige toegang tot uw bestanden. Ook wanneer u van afstand bij u bestanden kan komen, dan zult u minimaal een zogenaamde two-factor beveiliging moeten hebben.

ICT- en Privacybeleid
Een ICT- en Privacybeleid zorgt ervoor dat je netwerk niet instabiel wordt door onbeperkt gebruik van privé programma’s. Tevens kunt u vastleggen hoe medewerkers om moeten gaan met privé apparaten, want deze apparaten geven een verhoogd risico op malware, spam, virussen en het gebruik van illegale software. U kunt door de BSA of Microsoft aansprakelijk worden gesteld voor het gebruik van illegale software.

Verzekering
Er zijn goede cybercrime verzekeringen die de directe schade van een datalek vergoeden. Uiteraard moet u dan ook voldoen aan de beveilging zoals hiervoor genoemd.

Tot slot
Met de komst van de AVG veranderen de spelregels. Denk na welke persoonsgegevens moeten worden vastgelegd en waarom. Zorg voor goede afspraken met uw ICT leverancier, zodat bij een datalek snel gehandeld kan worden. Zorg uiteraard voor veilige systemen en stel een ICT- en Privacybeleid op.

Het kan best lastig zijn om deze punten uit te werken. Heeft u hulp nodig? Neem gerust contact met ons op, wij helpen u graag!