meldplicht datalekken avg

Meldplicht datalekken AVG

Vanaf 25 mei 2018 geldt in de hele Europese Unie de General Data Protection Regulation (GDPR). In het Nederlands heet deze verordening de Algemene verordening gegevensbescherming (AVG). In de AVG worden regels gesteld met betrekking tot het melden van datalekken (meldplicht datalekken). In dit artikel hebben we de belangrijkste vragen en antwoorden over de AVG op een rij gezet.

Wat is de AVG?

De Algemene verordening gegevensbescherming (AVG of GDPR) is de nieuwe Europese privacywet. Met de invoering van deze Europese privacywet zijn organisaties verplicht om maatregelen te nemen op het gebied van privacy in de verwerking van persoonsgegevens. Organisaties hebben tot 25 mei 2018 om hun organisatie klaar te stomen voor deze nieuwe wet. Na deze datum gaat de Autoriteit Persoonsgegevens streng controleren en boetes uitdelen als organisaties te maken krijgen met datalekken die ze eigenlijk hadden kunnen voorkomen. De huidige Nederlandse privacywet, de Wet bescherming persoonsgegevens (Wbp) komt te vervallen op 25 mei 2018.

Wat verandert er voor organisaties met de invoering van de AVG?

Onder de Algemene verordening gegevensbescherming gaat er behoorlijk wat veranderen. Hier volgen een aantal belangrijke veranderingen die de AVG met zich meebrengt.

Meer gegevens worden als privacygevoelig gezien

Zo vallen bedrijfsactiviteiten veel sneller dan met de Wbp onder de privacywet. Data, gekoppeld aan bijvoorbeeld IP-adressen en cookies, moet onder de AVG ook als privacygevoelig behandeld worden. Dit geldt zelfs wanneer je de naam van de persoon achter een cookie niet kent.

Verwerkersovereenkomsten afsluiten

Totdat de AVG van kracht wordt, heet deze overeenkomst nog de bewerkersovereenkomst. In de verwerkersovereenkomst staan de afspraken over het omgaan met persoonsgegevens. Wanneer de organisatie ervoor kiest om diensten uit te besteden waarbij persoonsgegevens van klanten worden verwerkt, moet hiervoor toestemming worden verleend door de klant.

Mega boetes

De boetes worden enorm hoog. De Autoriteit Persoonsgegevens mag boetes opleggen tot wel twintig miljoen euro of 4% van de jaaromzet van de organisatie. Lees hier meer over boetes en de meldplicht datalekken.

Verwerkingsregister

Alle verwerkingen van persoonsgegevens moeten gedocumenteerd worden in een verwerkingsregister. In het verwerkingsregister staan bijvoorbeeld voor welke doeleinden gegevens gebruikt worden, NAW-gegevens, contactgegevens, betaalgegevens, de betrokkenen, de bewaartermijnen en informatie over de beveiliging. Het is verplicht zo’n register bij te houden wanneer een organisatie meer dan 250 medewerkers heeft.

Datalekken vastleggen

Volgens de nieuwe wet is het niet alleen verplicht om datalekken te registreren die gemeld moeten worden, maar om alle datalekken vast te leggen. De informatie die geregistreerd moet worden bestaat uit een omschrijving van het lek, wanneer het lek plaatsvond, van wie (en hoeveel personen) er data gelekt is en welke gegevens gelekt zijn. Wil je weten wanneer er precies sprake is van een datalek? Lees hier meer over de definitie van een datalek.

Data protection impact assessment (DPIA)

Vanaf 25 mei 2018 is het voor sommige organisaties verplicht om een Data protection impact assessment (DPIA) uit te voeren. In het Nederlands wordt het DPIA een gegevensbeschermingseffectbeoordeling genoemd. De Autoriteit Persoonsgegevens omschrijft een DPIA als een ‘instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen’. Is jouw organisatie verplicht om een DPIA uit te voeren? Lees hier de informatie die de Autoriteit Persoonsgegevens hierover geeft.

Wat gebeurt er met de Wet bescherming persoonsgegevens (Wbp)?

De periode van nu tot 25 mei 2018 geldt de Wbp nog steeds. Vanaf 25 mei 2018 komt de Wbp te vervallen en is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG, in het Engels GDPR, gaat gelden in alle EU-lidstaten. Alle nationale privacywetten van andere landen in de EU komen ook te vervallen.

Hoe ziet de overgangsperiode tussen de Wbp en de AVG eruit?

De AVG is in mei 2016 in werking getreden in de Europese Unie. Maar, er is afgesproken dat de wet nog niet van toepassing is tot 25 mei 2018. Deze twee jaar hebben organisaties en toezichthouders de tijd gekregen om voorbereidingen te treffen, om helemaal klaar te zijn voor de AVG. In de periode van mei 2016 tot 25 mei 2018 geldt in Nederland gewoon nog de Wbp.

Wat is een Functionaris Gegevensbescherming (FG)?

Een Functionaris Gegevensbescherming (FG) houdt binnen de organisatie toezicht op het toepassen en naleven van de AVG (tot 25 mei 2018 de Wbp). De FG houdt bijvoorbeeld bij welke gegevens verwerkt worden in de organisatie, adviseert de organisatie op het gebied van databeveiliging, zorgt voor een gedragscode voor de medewerkers en inventariseert de gegevensverwerkingen. De FG is altijd een persoon, dus geen commissie of andere groep mensen.

Sommige organisaties zijn verplicht een FG aan te stellen, andere niet. Op deze pagina van de Autoriteit Persoonsgegevens kun je lezen in welke situaties het wel of niet verplicht is om een FG aan te stellen.

Ook moeten FG’s zich aanmelden bij de Autoriteit Persoonsgegevens. Hiervoor moet een aanmeldingsformulier ingevuld worden. Dit formulier vind je hier.

Wat betekent de AVG voor de Functionaris Gegevensbescherming?

De Functionaris Gegevensbescherming (FG) krijgt met de invoering van de AVG een grotere rol. Om deze rol op een goede manier te vervullen, is het belangrijk om hier voldoende aandacht aan te schenken.

De FG adviseert de organisatie over het omgaan met persoonsgegevens, en draagt zorg voor adequaat en onafhankelijk toezicht. In de praktijk betekent dit dat de FG betrokken is bij alle processen in de organisatie waarbij persoonsgegevens verwerkt worden. Daarnaast is de FG de contactpersoon in de communicatie met de Autoriteit Persoonsgegevens.

Lees meer over de rol van de FG bij AVG in dit artikel van de Digitale overheid.

Veranderen bewaartermijnen met de invoering van de AVG?

Nee, de bewaartermijnen veranderen niet als de AVG van toepassing is. Nu geldt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is en deze regel blijft geldig. Hoe lang gegevens bewaard moeten of mogen worden, verschilt per situatie. Aandachtspunten hierbij zijn dat er van tevoren bepaald moet worden hoe lang gegevens bewaard worden. De Autoriteit Persoonsgegevens zegt hierover dat als dit niet kan, de bewaartermijn of de criteria hiervoor vastgelegd moeten worden in een bewaarbeleid. De bewaartermijnen moeten ook opgenomen worden in het verwerkingsregister. De personen van wie gegevens verwerkt worden, moeten ook geïnformeerd worden over deze termijnen. De privacyverklaring op de website van de organisatie is hier een handige plek voor.

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Xtandit heeft zich al voorbereid op de invoering van de GDPR. We hebben onze ervaringen, praktische tips en handige templates vanuit dit traject verzameld en gebundeld in het starterspakket Maak jouw organisatie GDPR-ready. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket