artikelen

artikelen

Ruby Nefkens, 3 oktober 2016

Privacy by design
Een mooie titel die niets met design te maken heeft maar alles met privacy.
In Nederland gelden al strenge regels met betrekking tot de bescherming van persoonsgegevens. Deze gaan nog strenger worden. De Europese privacy wetgeving neergelegd in de Algemene Verordening Gegevensbescherming (AVG) wordt namelijk in mei 2018 rechtstreeks van toepassing in Nederland.

U denkt nu natuurlijk dat dat nog heel ver weg is en dat u nog tijd genoeg heeft. Dat is ook zo, als u nu begint met het aanpassen van uw organisatie. En dat begint met het in kaart brengen van hoe uw bedrijf nu met privacy en persoonsgegevens omgaat.

De AVG hangt het zogenaamde Privacy by design - beginsel aan. Dat houdt in dat uw organisatie zo wordt ingericht dat alleen die persoonsgegevens worden verzameld en verwerkt die noodzakelijk zijn. Noodzakelijk voor het doel waar u de persoonsgegevens voor verzamelt en verwerkt. De persoonsgegevens van uw personeel worden bijvoorbeeld verwerkt om de salarisadministratie te kunnen doen, maar ook om ziekteverzuim bij te houden. Persoonsgegevens van klanten worden verwerkt om een nieuwsbrief of uitnodiging aan te kunnen sturen.

De regel is dat u zo min mogelijk gegevens verwerkt, deze zo kort mogelijk opslaat, en voor zo min mogelijk mensen toegankelijk maakt. Het toepassen van dit beginsel is al verplicht en wordt nog belangrijker door de komende rechtstreekse werking van de AVG. De boetes die aan organisaties, die persoonsgegevens niet voldoende beschermen, kunnen worden opgelegd worden straks nog hoger: tot maximaal 20 miljoen EUR of 4% van de totale wereldwijde jaaromzet van het voorgaande boekjaar.

Waar moet u beginnen? U kunt starten met een Privacy Impact Assessment, een onderzoek naar de verwerking binnen uw organisatie van persoonsgegevens en een risico-analyse. Als organisatie bewaart u uw personeelsgegevens en klantgegevens wellicht wel in de cloud. Wat heeft u daarover afgesproken met uw ICT bedrijf? Staan deze gegevens op een server in Europa of buiten Europa? En welke andere partijen schakelt u in die allemaal bij de door u verzamelde en opgeslagen persoonsgegevens kunnen? Welke afspraken heeft u met hen? Wat heeft u geregeld voor het geval er persoonsgegevens lekken (datalek)? Staan uw personeelsdossiers en klantendossiers in een kast of heeft u die alleen nog maar digitaal?

En welk personeel van uw bedrijf kan bij de persoonsgegevens? Heeft iedereen vrij toegang, of zijn de gegevens beveiligd en zijn er maar een beperkt aantal personen bevoegd om bij de persoonsgegevens te kunnen?

Als u niet direct antwoord heeft op deze vragen en u heeft op het gebied van de handhaving van privacy ook nog geen duidelijk beleid ontwikkeld, dan geldt voor u: start daar nu mee. Met het in kaart brengen van uw privacy beleid, waar liggen de risico’s en hoe gaat u dat aanpakken? Denk daarbij aan het Privacy by design – beginsel. In de komende weken zal ik meer aandacht besteden aan de maatregelen die u kunt treffen om uw organisatie privacy proof te maken.

Ruby Nefkens
+31 6 43 36 80 63
nefkens@vandersteenhoven.nl

Aan de samenstelling en inhoud van dit artikel is de meeste zorg besteed. Ruby Nefkens en Van der Steenhoven advocaten aanvaarden geen verantwoordelijkheid ten aanzien van op basis van dit artikel genomen beslissingen, tenzij zij vooraf in concrete gevallen zijn geraadpleegd.

 

Contact opnemen met ons?
 

  +31 (0)20 607 79 79
 

  mail@vandersteenhoven.nl