Klaar met je werk, AVG privacy specialist?
Kom je nog aan slapen toe, AVG privacy specialist? Of werk je momenteel het klokje rond? Feit is dat de AVG-invoeringsdatum – of beter gezegd de handhavingsdatum – voor de deur staat.
Kom je nog aan slapen toe, AVG privacy specialist? Of werk je momenteel het klokje rond? Feit is dat de AVG-invoeringsdatum – of beter gezegd de handhavingsdatum – voor de deur staat.
25 mei is het zover en gaat de Autoriteit Persoonsgegevens de wet actief handhaven en kan men boetes uitdelen. Voor jou als AVG privacy specialist zal het werk er dan zeker nog niet opzitten. Naarmate de deadline nadert komen steeds meer bedrijven en zelfs hele sectoren er achter dat de invoering toch iets meer voeten in de aarde heeft dan men oorspronkelijk dacht. Zo bleek uit recent onderzoek van DDMA, de branchevereniging voor data (!) en marketing – dat ruim 60% van haar leden nog niet eens een privacy-beleid heeft.
Nog even over 25 mei, D-day voor de AVG privacy specialist
Op 25 mei moeten bedrijven voldoen aan de regels zoals de zijn vastgelegd in de Algemene Verordening Gegevensbescherming. Deze AVG is de Nederlandse versie van de EU-breed afgesproken General Data Protection Regulation (GDPR). Nederlands betekent in dit geval enkel een vertaling want de wetgeving is daadwerkelijk overal in de EU hetzelfde. Ruwweg moeten bedrijven de 25e de volgende zaken op orde hebben:
- Een sluitende registratie van welke persoonsgegevens ze opslaan, wie er bij kan en waarvoor. Inclusief de elektronisch geregistreerde toestemming van de klanten. De tijd van de automatisch verzonden nieuwsbrief omdat je ooit iets hebt gedownload, ligt dan definitief achter ons.
- De toestemming van klanten moet bovendien snel getoond kunnen worden, evenals welke data dan exact zijn opgeslagen. En op verzoek moet het bedrijf de gegevens ook weer kunnen verwijderen.
- Bij de IT systemen en processen moeten privacybeschermende maatregelen zijn ingebouwd (Privacy by Design). Bovendien moeten alle privacy settings standaard zo veilig mogelijk zijn ingesteld (Privacy by Default).
- Organisaties die veel of extra gevoelige persoonsgegevens verwerken, moeten een zogeheten Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG) hebben aangesteld. Deze professional is met een grote mate van autonomie verantwoordelijk voor de compliance met de wetgeving.
- Men moet er op zijn voorbereid dat eventuele datalekken direct worden gemeld aan de autoriteiten en zo nodig ook aan de betrokkenen klanten.
- En dat alles op straffe van stevige boetes als zaken niet op orde blijken te zijn. Boetes die miljoenen kunnen bedragen of een fors percentage van de wereldwijde omzet, afhankelijk van welk bedrag hoger uitvalt.
En daarna? Omscholen van de AVG Privacy specialist?
Als we 25 mei achter ons hebben, wat dan? Heeft dan iedereen dikke handboeken gemaakt die onderin een kast worden gelegd? Kunnen alle privacy specialisten op zoek naar iets anders? AVG als het nieuwe Millennium project, zoiets?
Integendeel. De invoering van de AVG is slechts het begin. Eigenlijk begint in veel gevallen op 25 mei pas het echte werk. De introductie van de AVG betekent vooral dat vanaf nu bij veel zaken privacy centraal zal staan. Er zal geen IT-project meer starten zonder dat de impact op de privacy moet worden meegenomen. Voor jou als AVG Privacy specialist is dat goed nieuws. Ook bij HeadFirst zien we veel opdrachten rondom privacy en beveiligingsvraagstukken. Meld je nu aan en check direct het overzicht van onze huidige opdrachten. We gaan uiteraard voorzichtig om met je gegevens.