Ruim de helft van de bedrijven is niet voorbereid op AVG

europese-unie

Meer dan de helft van de bedrijven die met de Algemene Verordening Gegevensbescherming (AVG) te maken krijgen is hier nog niet op voorbereid. Dit terwijl de wetgeving vanaf mei 2018 van kracht is en bedrijven die niet aan de AVG voldoen hoge boetes opgelegd kunnen krijgen.

Dit blijkt uit onderzoek van Gartner. De AVG vervangt de Data Protection Directive 95/46/EC en trekt de privacywetgeving in alle EU-lidstaten gelijk. Gartner adviseert bedrijven tijdig zeker te stellen dat zij voldoen aan de eisen van de nieuwe AVG. Om bedrijven hiermee te helpen heeft het onderzoeksbureau vijf stappen uiteengezet die bedrijven hiervoor kunnen doorlopen.

1. Bepaal uw rol onder de AVG

Iedere organisatie die besluit waarom en hoe persoonlijke gegevens worden verwerkt kan worden aangemerkt als ‘databeheerder’. Dit betekent dat de AVG niet alleen impact heeft op bedrijven die in de EU zijn gevestigd, maar ook op alle organisaties buiten de EU die persoonlijke gegevens verwerken voor de levering van goederen en diensten aan de EU of het gedrag van Europese gebruikers monitoren. Databeheerders zijn verplicht een vertegenwoordiger aan te stellen die als contactpersoon optreedt voor zowel Europese burgers als de Data Protection Authority (DPA).

2. Stel een Data Protection Officer aan

In veel gevallen zijn organisaties verplicht een Data Protection Officer (DPO) aan te stellen, die toezicht houdt op de naleving van de AVG. Dit is zeker verplicht als het gaat om een publieke organisatie, een organisatie die activiteiten uitvoert die regelmatige en systematische monitoring van gebruikers vereisen of op grote schaal persoonlijke gegevens verwerken. Gartner merkt op dat grootschalig niet altijd hoeft te betekenen dat data van honderdduizenden burgers wordt verwerkt; ook in andere gevallen kan dataverwerking worden aangemerkt als grootschalig.

3. Leg verantwoordelijkheden vast

Gartner concludeert in zijn onderzoek dat zeer weinig organisaties al ieder proces hebben geïdentificeerd waarin persoonlijke gegevens worden verwerkt. Het onderzoeksbureau wijst erop dat in de toekomst vooraf aan iedere nieuwe dataverwerking moet worden vastgelegd voor welk doel deze data is verzameld, welke relevantie deze gegevens hebben en welke kwaliteit de data heeft. Daarnaast moeten bedrijven gebruikers voortaan expliciet om toestemming vragen om hun gegevens te mogen verzamelen en verwerken. Het is niet toegestaan hierbij gebruik te maken van vooraf aangevinkte hokjes.

4. Breng grensoverschrijdende datastromen in kaart

Onder de AVG mogen bedrijven data versturen naar alle 28 EU-lidstaten, evenals Noorwegen, Liechtenstein en IJsland. Daarnaast bieden 11 landen (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay) volgens de Europese Commissie een hoog genoeg niveau van databescherming om data met deze landen uit te kunnen wisselen. Wie echter data wil uitwisselen met andere landen zal hiervoor bepaalde garanties moeten leveren. Dit kan door gebruik te maken van Binding Corporate Rules (BCR’s) of standaard contractuele clausules (Europese modelcontracten).

5. Bereid uw organisaties voor op gebruikers die nieuwe rechten benutten

De rechten van gebruikers worden door de AVG uitgebreid. Het gaat hierbij om het recht om vergeten te worden, het recht op dataportabiliteit en het recht om geïnformeerd te worden (over bijvoorbeeld een datalek). Gartner adviseert bedrijven zich nu alvast voor te bereiden hierop, zodat zij adequaat kunnen reageren indien gebruikers bijvoorbeeld hun data opvragen om deze aan een andere organisatie te verstrekken of indien onverhoopt een datalek optreedt.

Dossiers
Meer over
Lees ook
Minister Grapperhaus perkt nieuwe bewaarplicht in

Minister Grapperhaus perkt nieuwe bewaarplicht in

Het wetsvoorstel voor een nieuwe bewaarplicht voor internet- en telecomproviders wordt aangepast. De bewaarplicht gaat alleen betrekking hebben op gebruikersgegevens, waaruit blijkt wie op welk moment van welk IP-adres gebruik heeft gemaakt. Verkeers- en locatiegegevens worden niet bewaard. Verkeersgegevens zijn gegevens die worden verwerkt voor het...

AVG en de cloud: Waarom de focus op boetes niet deugt

AVG en de cloud: Waarom de focus op boetes niet deugt

Discussies over de Algemene Verordening Gegevensbescherming (AVG) gaan meestal over de boetes die organisaties kunnen krijgen als ze onzorgvuldig omgaan met persoonsgegevens. Volgens Bas Loovens van DearBytes zijn er echter veel belangrijkere redenen om de bescherming van persoonsgegevens serieus te nemen. Zeker nu steeds meer organisaties gebruik maken...

US Supreme Court buigt zich over rechtszaak rond Ierse gebruikersdata Microsoft

US Supreme Court buigt zich over rechtszaak rond Ierse gebruikersdata Microsoft

Het US Supreme Court buigt zich deze week over de rechtszaak tussen Microsoft en het Amerikaanse ministerie van Justitie over gebruikersdata die Microsoft in een Iers datacenter heeft opgeslagen. Het ministerie van Justitie wil dat Microsoft de data overhandigd. Microsoft weigert dit echter en stelt dat de Amerikaanse overheid geen recht heeft in de...