Patrick Wessels Geen reacties

Het is bij de meesten bekend dat vanaf mei 2018 een nieuwe Europese wet van kracht wordt, om precies te zijn vanaf 25 mei. De naam die deze wet draagt is Algemene Verordening Gegevensbescherming, ook wel bekend als de AVG.

Waarom wordt er ook gesproken over GDPR of Europese Privacy Verordening?

Om hierover maar meteen duidelijkheid te verschaffen willen wij benadrukken dat de nieuwe wetgeving drie benamingen heeft, die niet van elkaar verschillen:

  • Algemene Verordening Gegevensbescherming (AVG)
  • Europese Privacy Verordening
  • General Data Protection Regulation (GDPR)

Veel bedrijven zien hiermee iets nieuws op zich afkomen. Toch moeten die bedrijven zich tot 25 mei nog gewoon aan de WBP (Wet Bescherming Persoonsgegevens) houden. Deze wet werd ingevoerd op 1 september 2001 en zal per 25 mei aanstaande komen te vervallen. 
Let op: De Nederlandse Meldplicht Datalekken zal niet komen te vervallen.

Wat houdt de AVG wetgeving precies in?

In de gesprekken met klanten horen wij veelal het woord ‘boetes’ vallen. Of u risico loopt op een boete vanwege de AVG hangt sterk af van uw bedrijf. Heeft u intern alles netjes op orde?

Het is een grote misvatting is dat IT hierin de grootste en belangrijkste rol speelt. Veel leveranciers spelen hier commercieel op in met wat wij noemen ‘bangmakerij’. In onze ogen is dat niet fair, want de rol van een leverancier ligt bij het overdragen van bewustwording, het overdragen van kennis en indien uiterst noodzakelijk het aanpassen van de dienstverlening.

De wet veel elementen die niet IT-gerelateerd zijn. Daardoor ligt de verantwoordelijkheid volledig bij het bedrijf zelf. U kunt hierbij denken aan het feit dat u moet kunnen aantonen dat uw bedrijf zich aan de wet houdt. Dit heet accountability en is belangrijk voor iedere organisatie. Door een nieuwe documentatieplicht moet u met documenten kunnen aantonen dat u de juiste maatregelen heeft genomen, zowel organisatorisch als technisch. In de algemene zin zijn er vier kaders die deze wetgeving dragen en tot een geheel brengen binnen de organisatie:

  • ICT
  • Legal
  • Accountancy
  • Awareness

De verantwoordelijkheden bij bedrijven kunnen aanzienlijk verschillen. Uw bedrijf kan bijvoorbeeld verplicht zijn een Privacy Impact Assessment (PIA) uit te voeren, terwijl uw concurrent dat niet hoeft. Of uw bedrijf moet een functionaris voor gegevensbescherming aan te stellen en de ander niet. Doet u dat niet? Dan dient de reden daarvoor goed te worden vastgelegd. Er is sprake van een grijs gebied, dat vraagt om duidelijke documentatie.

De rol van Managed.nl

Deze blog biedt onvoldoende ruimte om alle veranderingen en regels te beschrijven. We staan u bij Managed.nl graag bij wanneer er onduidelijkheden ontstaan. Het is namelijk ook in ons belang dat u zich met uw bedrijf per 25 mei aanstaande weet te verantwoorden. Bovendien kunnen we u goed adviseren met betrekking tot ICT. We zijn bij Managed.nl klaar voor de nieuwe wetgeving en blijven doen waar we goed in zijn: het veilig hosten van uw data.