Het is niet altijd makkelijk om als ondernemer of manager alles te weten. Vooral niet als het gaat om een beladen onderwerp als de nieuwe Europese wetgeving. Er wordt veel over gepraat, maar wat juist en wat niet. ISO Privacy Advies zet zeven misvattingen op een rij en legt u uit hoe het wel zit.
- Onze organisatie voldoet aan de Wet bescherming persoonsgegevens (Wbp) en dus ook aan de AVG
Ondanks het feit dat de Wbp en de AVG veel op elkaar lijken, zijn er wel degelijk verschillen. We zetten er drie op een rij:
- Er zijn een aantal rechten toegevoegd. Zoals het recht op vergetelheid, het recht op dataportibiliteit en het recht om verwerking te beperken.
- Een bewerker onder de AVG is verplicht een datalek te melden aan de verantwoordelijke. Daarnaast hoeft er pas melding aan de toezichthouder gedaan te worden als er daadwerkelijk een lek heeft plaatsgevonden
- De AVG is ook van toepassing voor organisaties buiten de Europese Unie welke persoonsgegevens van burgers binnen de EU verwerken.
- De AVG is niet van toepassing op kleine bedrijven
Het moge duidelijk zijn; de AVG is op alle bedrijven van toepassing. Ook op eenmanszaken en kleine besloten vennootschappen. Uiteraard hangt de impact van de AVG op kleine ondernemingen af van de wijze waarop de data wordt verwerkt. U kunt er dus vanuit gaan dat de AVG ook voor u geldt. - De Algemene Verordening Gegevensbescherming is overal hetzelfde
Dat zou u denken. Toch is dit niet het geval. De AVG is een richtlijn en kan in ieder land verschillen door verschillende interpretaties. Zo bent u, als Nederlands bedrijf verplicht om zich aan de nationale regels te houden. Toch kan het zijn dat deze verschillen met de Duitse. - U bent verplicht een Privacy Officer in dienst te nemen
Het is voor de meeste organisaties niet verplicht om een Privacy Officer aan te nemen. Ondanks dat is het wel aan te raden als u persoonsgegevens verwerkt. U bent tenslotte verplicht om te voldoen aan de AVG. U kunt ook een medewerker aanwijzen als Privacy Officer. Hij of zij houdt dan toezicht, verzamelt en inventariseert gegevensverwerkingen, behandelt vragen en klachten van personeelsleden en klanten, ontwikkelt interne regelingen en geeft voorlichting en advies over technologie en beveiliging. - Als je gebruik maakt van versleutelde dat voldoe je aan de normen
Deze misvatting data het versleutelen van data volstaat. U dient extra mogelijkheden bieden om persoonsgegevens te beschermen. U kunt dan denken aan het verwijderen van data die niet meer wordt verwerkt en tweestapsverificatie. - Het aanwijzen van een Privacy Officer is slechts een formaliteit
Zoals wij in punt 4 al aanhaalde, bent u niet verplicht om een Privacy Officer aan te nemen en kunt u ook een medewerker aanstellen om deze taak op zich te nemen. U dient er rekening mee te houden dat de wet voorschrijft dat een Privacy Officer een expert is in privacy- en databeveiliging en op de hoogte moet zijn van bedrijfsspecifieke dataprocessen. - De verantwoordelijkheid voor data in de cloud ligt bij de cloudprovider
Ook dit is een misvatting. Als u persoonsgegevens verwerk, of dat nu in de cloud of op een harde schijf in uw server is, bent u verantwoordelijk voor deze gegevens. Het is daarom dus van belang dat u goede bewerkersovereenkomsten met u externe providers van dataopslag afsluit.
Zelf doen!
Als u wilt voldoen aan de AVG dan is het verstandig om snel aan de slag te gaan. Immers, voor 25 mei 2018 bent dit als organisatie verplicht. ISO Privacy Advies schreef in het artikel ‘In 10 stappen Privacy Proof!’ hoe u het zelf kunt doen.
Zorg dat uw organisatie vóór 25 mei 2018 voldoet aan de Algemene Verordening Gegevensbescherming
Meer weten over de AVG of de het inhuren van een Privacy Officer? Bel dan naar 040-7878750 of maak gebruik van ons terugbelforumlier voor een gratis en vrijblijvend Privacy updategesprek bij u op locatie. U bent in een uurtje volledig op de hoogte van de laatste stand van zaken op het gebied van alles wat met de nieuwe Privacy Wetgeving te maken heeft.
