De impact van de AVG voor organisaties. Waarom is certificering interessant?

De impact van de AVG voor organisaties. Waarom is certificering interessant?

Wat is de impact van de AVG op uw organisatie en hoe past u de complexe privacywet toe binnen uw Marketing, HR of ICT afdeling? Meld u aan voor de AVG / GDPR training

Vanaf 25 mei jl. is de Algemene verordening gegevensbescherming (AVG) van toepassing (internationaal de GDPR, General Data Protection Regulation). Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Bedrijven moeten vanaf deze datum voldoen aan de nieuwe wetgeving. Maar wat betekent dit nou concreet voor organisaties? Wat zijn de belangrijkste veranderingen voor organisaties? Wat zijn de risico’s rondom de nieuwe privacywet? Wat is het voordeel om gecertificeerd te zijn? Kortom, wat is de impact van de AVG? 

Waarom de AVG?
De digitalisering in de samenleving en economie brengt veel voordelen met zich mee zoals Big Data en The Internet of Things. Helaas zijn er ook nadelen zoals de kans op identiteitsfraude, datalekken, cybercrime enz. Persoonlijke gegevens worden online massaal gedeeld, met vrienden, maar ook met bedrijven. Wat gebeurt er bij deze bedrijven met uw persoonsgegevens? Dat is niet altijd even helder en dat is waar het om draait bij de nieuwe privacywet. In Nederland kenden we al de Wet bescherming persoonsgegevens (Wbp) en zo hebben alle landen in de Europese Unie een eigen wetgeving welke vervangen zal worden door de nieuwe privacywet.

Kort samengevat is de wet een geheel van regels om de gegevens van de Europese burgers beter te beschermen. Waar men voorheen de persoonsgegevens mocht verwerken, tenzij de persoon in kwestie zich er uitdrukkelijk tegen verzet had, mag dat nu niet meer. Onder de nieuwe verordening mogen de persoonsgegevens enkel nog verwerkt worden indien daar een rechtmatige grondslag voor bestaat of toestemming voor is gegeven.

De AVG geldt voor alle organisaties die persoonsgegevens verwerken van personen binnen de EU en geldt dus ook voor kleine organisaties als mkb’ers en zzp’ers. De AVG raakt de gehele organisatie, dus zowel ICT en marketing, maar ook HRM en andere afdelingen.

Wat betekent de AVG concreet voor organisaties?
Onder de nieuwe verordening mogen de persoonsgegevens enkel nog verwerkt worden indien daar een rechtmatige grondslag voor bestaat of toestemming voor is gegeven. De betrokken particuliere persoon heeft op elk moment het recht om zijn of haar persoonsgegevens te raadplegen, te laten corrigeren en zelfs om helemaal vergeten te worden. Op elk moment mag men dergelijke eisen stellen. U bent dan verplicht inzage te geven in persoonsgegevens die u verwerkt en ze desgewenst aan te passen of helemaal te wissen.

U mag persoonsgegevens verwerken (grondslagen AVG):

  1. Als er toestemming is van de betrokken persoon;
  2. Als er een overeenkomst is waarvoor gegevensverwerking noodzakelijk is;
  3. Als er een wettelijke verplichting is waarvoor gegevensverwerking noodzakelijk is;
  4. Als de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. Als de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. Als de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Neem verantwoording
De AVG legt meer nadruk op de verantwoordelijkheid van uw organisatie om aan te tonen dat u zich aan de wet houdt. De verantwoordingsplicht houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. U bent als organisatie verplicht om organisatie breed aan te kunnen tonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u deze beveiligt. Globaal gezien wil de nieuwe verordening zeggen dat uw organisatie de processen, datastromen, maar ook de registratie dient: uit te schrijven, te documenteren en mogelijk aan te passen.

De mogelijkheden om aan deze verantwoordingsplicht te voldoen:

  1. U maakt volledig transparant welke persoonsgegevens u verwerkt (wie er betrokken is bij de verwerking en wat de risico’s zijn?)zodat u zelf bij de autoriteit persoonsgegevens kan aantonen aan de AVG voldoet.
  2. U kunt uw organisatie laten controleren op een door de Autoriteit Persoonsgegevens goedgekeurde gedragscode voor uw branche. Hiervoor moet een collectieve gedragscode voor worden aangevraagd waarbij de manier van de verwerking van persoonsgegevens wordt onderbouwd.
  3. U laat zich als bedrijf AVG certificeren door een onafhankelijk auditbureau.

Wat zijn de risico’s als u niet aan de AVG voldoet?
Overtreedt een organisatie straks de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes:

  1. Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben een verantwoordingsplicht. Kan uw organisatie niet aantonen dat u aan de wet voldoet dan kan de AP een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.
  2. Overtreedt een verantwoordelijke de grondslagen van de AVG of de privacy rechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan riskeert u een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Waarom is een certificering interessant?
Een certificeringsstandaard biedt houvast om te kunnen voldoen aan de AVG. Het vertaalt de complexe materie naar praktische en vooral helder implementeerbare procedures en maatregelen. Nadat de standaard van A tot Z is geïmplementeerd binnen uw organisatie kan er een onafhankelijke toetsing plaats vinden door een auditor. Na een positief resultaat krijgt uw organisatie een certificaat dat aantoont dat uw organisatie voldoet aan de vereisten die door de AVG worden opgelegd.

De voordelen van certificering op een rij:

  1. Concurrentievoordeel. Als leverancier of gegevensverwerker zal u de vraag krijgen of u AVG proof bent. Met het certificaat biedt u zekerheid en vertrouwen voor uw klanten en leveranciers, wat uw concurrenten wellicht niet direct of zo eenvoudig kunnen bieden.
  2. Gemak. Met één certificaat toont u aan dat u aan de AVG eisen voldoet. U hoeft niet iedere keer alles te tonen.
  3. Promotievoordeel. U toont actief aan dat u voldoet aan de AVG, wat goed is voor uw imago.
  4. Risicoafdekking. Het risico van een boete wordt geminimaliseerd doordat u bij de Autoriteit Persoonsgegevens kan aantonen dat u voldoet aan de AVG.

Waar staat uw organisatie momenteel t.o.v. de AVG?
Nu duidelijk is wat de impact is van de AVG voor organisaties bent u waarschijnlijk benieuwd waar u zelf als organisatie staat ten aanzien van de AVG. Brand Compliance heeft een expertteam van auditoren die met een nulmeting uw organisatie doorlichten. U krijgt een uitgebreid rapport met daarin de concrete acties die u nog moet uitvoeren om volledig te voldoen. Advisering omtrent de verdere implementatie is eveneens mogelijk.

Nog niet toe aan een nulmeting, maar wel graag constructief aan de slag? Dan biedt de certificatiestandaard houvast. Een standaard met een managementsysteem benadering, een raamwerk waarmee uw organisatie op een systematische wijze invulling kan geven aan de eisen van de AVG en de verantwoordingsplicht.

Uw kennis over de complexe privacywet vergroten? Weten welke impact de AVG heeft op uw organisatie? Hulp nodig bij het gebruik van de AVG certificatiestandaard? Meld u dan aan voor de AVG / GDPR training

 

2018-07-03T10:11:03+00:00