DDMA, vereniging voor data en marketing, is een mythbuster-campagne gestart, bedoeld om twijfels bij het Nederlandse bedrijfsleven over de nieuwe privacywetgeving weg te nemen. Tijdens de campagne ontkracht DDMA tot 25 mei elke dag een belangrijke AVG-mythe.

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Veel is er al over geschreven, wat mag wel, wat mag niet en vooral: hoe moet je dit allemaal regelen? In deze blogreeks zijn we de kernpunten van de nieuwe Europese privacywet langsgelopen. Vandaag sluiten we af met een concreet stappenplan: wat staat u te doen om AVG compliant te worden?

De Algemene Verordening Gegevensbescherming of AVG die vanaf 25 mei van kracht wordt, gaat vele nieuwe regels introduceren. Deze zijn erop gericht de privacy van Europese burgers te versterken. Een opvallend nieuw recht daarbij is het recht te worden vergeten: uit dossiers, uit profielen maar ook uit archieven. Hoe ver gaat dat recht nu?

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Deze wet is de strengste ter wereld waar het gaat om de bescherming van persoonsgegevens. Een belangrijke randvoorwaarde uit deze wet is dat persoonsgegevens alleen nog mogen worden gebruikt of opgeslagen in landen die net zo veilig zijn als de Europese Unie zelf voorschrijft. Dat maakt werken in veel landen erg lastig – met name in de Verenigde Staten.

Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht datalekken te melden, als het een relatief groot datalek was. Dit gaat onder de Algemene Verordening Gegevensbescherming, de nieuwe Europese privacywet niet veranderen. Nieuw is wel dat u ook intern moet documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.

Nu het stof over de DDoS-aanvallen is neergedaald, mogen we niet overgaan tot de orde van de dag. Rustig afwachten tot een volgende IT-mediahype over cyber security is geen optie. Laten we iets leren van de ophef.

Wat de afgelopen weken wederom duidelijk werd, is de grote kloof tussen IT-gebruik en IT-kennis. Daarbij kennen we geen balans tussen vertrouwen en angst. Allerlei wildwestverhalen over spuwende geldautomaten veroorzaakt door DDoS-aanvallen op een bank zorgen voor angst en paniek. Zonde van de energie.

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Iedere verwerking moet worden gedocumenteerd in een zogeheten verwerkingsregister. Daarbij moet u inschatten of de verwerking als risicovol gezien kan worden. Is dat het geval, dan mag u deze niet uitvoeren voordat een privacy impact assessment of PIA is uitgevoerd en de daaruit voortvloeiende maatregelen zijn geïmplementeerd.

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop eisen voor de kiezen, van het documenteren van gegeven toestemming tot het registreren van datalekken en het borgen van beveiliging. Een belangrijke nieuwe eis is dat software volgens de principes van privacy by design en privacy by default moet opereren. Maar wat houden deze begrippen nu in?

De nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming of AVG, brengt niet alleen nieuwe regels voor bedrijven maar ook nieuwe rechten voor personen. Deze rechten zijn bedoeld om mensen de macht te geven hun gegevens juist en volledig te houden. Dit is uitgewerkt als rechten van inzage en correctie, maar ook verwijdering (“recht te worden vergeten”) is een wettelijk recht.

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet eist zorgvuldige omgang met persoonsgegevens, op straffe van hoge boetes. Een belangrijk aspect daarvan is de beveiliging van systemen waarmee persoonsgegevens worden verwerkt. Deze moet te allen tijde goed op orde zijn, en wanneer er toch iets misgaat dan ontstaat er een datalek.

Big Brother? Feit is dat allerlei apparaten heel veel data registreren, bewaren en delen, meer dan je lief is. Daarom is het altijd handig om te weten wat apparaten precies van je weten. Zeker nu we aan de vooravond staan van de Internet of Things-revolutie. Want cybercriminelen zitten klaar om er met jouw gegevens aan de haal te gaan. Lees en huiver.

De Brusselse rechtbank van eerste aanleg volgt de argumentatie van de Belgische Privacycommissie en heeft Facebook vandaag verboden om zonder toestemming gegevens van gebruikers te verzamelen. Wanneer Facebook zich niet aan het vonnis houdt, volgt een dwangsom van 250.000 euro per dag.

De nieuwe Europese privacywet roept vele vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, onder meer over de opslag van persoonsgegevens. Een bijzonder aandachtspunt daarbij is de lengte van die opslag. Dit mag niet langer dan nodig, maar hoe lang is dat nu concreet?

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet eist zorgvuldige omgang met persoonsgegevens, op straffe van hoge boetes. Een interessante manier om uw compliance met deze nieuwe Europese privacywet te verzorgen, is het aanstellen van een privacy officer, in goed Nederlands een functionaris gegevensbescherming. Wat houdt deze functie nu in en aan welke eisen moet deze functionaris voldoen?

Wie vanaf 25 mei een ander bedrijf wil inschakelen om iets met persoonsgegevens te doen, moet daarbij op zijn tellen passen. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk strenge eisen aan de inzet van zo’n “verwerker”: u moet daar toezicht op houden, nagaan dat hij zich keurig aan de AVG houdt en u bent aansprakelijk als er bij hem iets misgaat.