Ben je voorbereid op de AVG / GDPR wetgeving?

Bedrijven hebben tot 25 mei 2018 om te voldoen aan de General Data Protection Regulation (GDPR) van de Europese Unie, ook bekend als AVG (Algemene Verordening Gegevensbescherming). Wat is GDPR en welke uitdagingen gaan Europese bedrijven tegemoet?

De nieuwe Europese regelgeving die gaat over beveiliging en beheer van persoonlijke gegevens heet officieel ‘richtlijn 95/46/EG’ maar is inmiddels beter bekend als GDPR (General Data Protection Regulation) of in het Nederlands:  AVG (Algemene Verordening Gegevensbescherming). Voor het geval dat je hier niet bekend mee bent een samenvatting op hoofdlijnen:

  • Bedrijven moeten expliciete toestemming hebben om een breed scala aan gegevens te gebruiken;
  • Bedrijven zullen een Data Protection Officer moeten aannemen als bedrijfsprocessen de opslag en wijziging van bepaalde type data vereisen;
  • ‘Privacy by design’ moet worden toegevoegd aan workflows, zoals de classificatie van informatie.

Goed nieuws voor consumenten. Maar voor het volledige Europese bedrijfsleven vormt dit een complexe en vaak omvangrijke uitdaging.

Uitdagingen en straffen
Sinds 2001 is in Nederland de WBP (Wet Bescherming Persoonsgegevens) van kracht, een wet die regelt hoe organisaties in Nederland omgaan met persoonsgegevens. Veel Europese landen hebben wetgeving als de Wbp geïmplementeerd, waardoor internationale organisaties te maken hebben met een enorme verscheidenheid aan toezichthouders en regelingen. Om het internationale organisaties minder ingewikkeld te maken, komt er nu Europese regelgeving: GDPR.

GDPR gaat veel verder dan WBP en de last op bedrijven is enorm. Zo moeten organisaties documenteren welke maatregelen getroffen zijn op het gebied van gegevensbescherming. En krijgen de personen over wie je gegevens verzameld een aantal rechten:

  • Recht om vergeten te worden
  • Recht op overdraagbaarheid van data
  • Recht op beperking van de verwerking
  • Recht op bezwaar tegen bepaalde verwerkingen
  • Recht om niet te worden geprofileerd als daar rechtsgevolgen aan verbonden zijn.

Dat klinkt logisch en eenvoudig, maar hoe makkelijk is het voor jou om gegevens van een persoon uit al jouw informatiebronnen/systemen te verwijderen? Deze zijn in veel gevallen namelijk niet gekoppeld. Zorg daarom dat je bij het digitaliseren van informatie de juiste metadata meegeeft, zodat je informatie makkelijk terug kunt vinden en weet waar gegevens opgeslagen zijn.


Boetes kunnen oplopen tot maximaal 20 miljoen euro


De straffen voor het niet naleven van de nieuwe regelgeving zijn te groot om genegeerd te worden. Het niet naleven kan een boete van maximaal 20 miljoen of 4% van de totale omzet eisen. Het zijn de inkomsten die ze meten en niet de winst, wat voor kleinere bedrijven bijzonder pijnlijk kan zijn. Kan jouw bedrijf het veroorloven om 4% van de omzet te missen?

Wanneer en hoe moeten bedrijven handelen?
De wet gaat in mei 2018 in heel Europa in en geldt voor bedrijven van alle omvang. Terwijl dat nog redelijk ver weg lijkt, moet de complexiteit rondom GDPR niet onderschat worden.

Als uw bedrijf of organisatie met persoonsgegevens werkt dan is deze wet ook voor u van toepassing. Lees hiervoor de uitgebreide handleiding voor verwerkers van persoonsgegevens (download via rijksoverheid.nl).

Meldplicht
Organisaties (bedrijven en overheden) zijn wettelijk verplicht om direct melding doen van een datalek. Niet alleen bij het Meldloket Autoriteit Persoonsgegevens, maar ook aan de betrokkenen zelf.

Datalek
Een datalek is: Toegang tot of vernietigen, wijzigen of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Dus niet alleen het vrijkomen (lekken) van gegevens, maar ook bij onrechtmatige verwerking van gegevens.
Er is niet alleen sprake van een ‘datalek’ als een hacker toegang tot persoonsgegevens heeft verkregen, maar ook het sturen van een mailing met adressen in een ‘cc’-veld is verkeerd. Of het sturen van persoonsgegevens per mail naar andere organisaties. Dat geldt ook voor verlies of diefstal van een USB-stick, laptop, Ipad of smartphone (waarop persoonsgegevens staan) alsmede de opslag van persoonsgegevens zonder adequate beveiliging.

Wat kunt u doen?
We adviseren u om goed uw bedrijfsprocessen te checken of de persoonsgegevens die u verwerkt (invoer, opslag, delen, vernietiging etc.) goed beveiligd zijn. Hierbij zijn we u graag van dienst.

Document Management Services is de oplossing!

Met Ricoh Document Management Software kunt u voor al uw documenten de beveiliging en privacy waarborging verbeteren en optimaliseren. Hiervoor heeft Ricoh zowel nationaal als internawbp-meldplicht-datalekken-document-management-software-ricoh-document-center-west-brabant-en-zeelandtionaal partners geselecteerd om de wensen en eisen van ieder bedrijf te kunnen overtreffen. Deze software kan ook los van apparatuur door ons verzorgd worden.

Samen met onze consultants bekijken we graag uw informatie- en documentenstromen en controleren deze op beveiliging en privacy. Denk aan documenten creëren, verzenden, mailen, printen, delen, opslaan of vernietigen. We geven advies om de processen te verbeteren, controleren op beveiliging en privacy en geven aan hoe de informatie- en documentstroom optimaal kunt organiseren met inzet van document management software. Zo beschermen wij u tegen datalekken in verband met de Wet Bescherming Persoonsgegevens.

Bekijk één van onze oplossingen in samenwerking met Nuance.

“Ricoh redeneert vanuit bedrijfsprocessen in plaats vanuit producten. Ze denken mee over onze workflows en hoe wij deze kunnen optimaliseren. Ze hebben ervaring in diverse sectoren’ en dat is heel prettig samenwerken.”

Wij beschermen en helpen u graag!