Per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Is uw bedrijf er klaar voor en waar moet uw bedrijf precies aan voldoen?
AVG
In de AVG zijn de nieuwe privacynormen gedetailleerd vastgelegd. Daarnaast is er slechts een beperkte schriftelijke toelichting voorhanden voor ondernemers. Op veel punten is er (nog) onduidelijkheid over de precieze invulling die gegeven moet worden aan de begrippen en bepalingen die in de verordening zijn opgenomen. Die nadere invulling is aan de respectievelijke toezichthouders in de Europese landen en aan de Europese rechters.
Handleiding
Dat wordt ook gesteld in de Handleiding Algemene verordening gegevensbescherming, die een aantal weken geleden is verschenen. Het is een dynamisch geheel, dat aan veranderingen onderhevig is en ook periodiek herzien zal worden, aan de hand van de laatste ontwikkelingen op het gebied van de toepassing en uitleg van de verordening.
Veel berichtgeving zorgt voor verwarring
Online zijn er al maanden veel (nieuws)berichten te vinden waar ondernemers een onduidelijk en warrig beeld krijgen van de AVG. Hierdoor kunnen zij ten onrechte denken dat zij dure uitgaven moeten doen om te kunnen voldoen aan de AVG. Dit is niet (altijd) nodig en gezien de dynamische aard van de wet op dit moment overbodig.
In de algemene berichtgeving wordt vaak gesuggereerd dat u als ondernemer beter “safe than sorry’ kunt zijn, liever teveel dan te wenig maatregelen kunt treffen. Toch biedt de AVG hier op dit moment geen basis of vereisten voor.
Praktische aanpak: privacybeleid
Maar waar moet uw bedrijf vanaf 25 mei dan wel aan voldoen? Het komt erop neer dat een organisatie aantoonbaar beschikt over een beleid bescherming persoonsgegevens (privacybeleid), een register van verwerkingsactiviteiten, waar nodig gebruik maakt van verwerkersovereenkomsten en een protocol voor datalekken. In bepaalde meer specifieke gevallen kan een Privacy Impact Assessment (PIA) vereist zijn of een privacy officer (functionaris gegevensbescherming).