Ruim de helft van de bedrijven is niet voorbereid op AVG

europese-unie

Meer dan de helft van de bedrijven die met de Algemene Verordening Gegevensbescherming (AVG) te maken krijgen is hier nog niet op voorbereid. Dit terwijl de wetgeving vanaf mei 2018 van kracht is en bedrijven die niet aan de AVG voldoen hoge boetes opgelegd kunnen krijgen.

Dit blijkt uit onderzoek van Gartner. De AVG vervangt de Data Protection Directive 95/46/EC en trekt de privacywetgeving in alle EU-lidstaten gelijk. Gartner adviseert bedrijven tijdig zeker te stellen dat zij voldoen aan de eisen van de nieuwe AVG. Om bedrijven hiermee te helpen heeft het onderzoeksbureau vijf stappen uiteengezet die bedrijven hiervoor kunnen doorlopen.

1. Bepaal uw rol onder de AVG

Iedere organisatie die besluit waarom en hoe persoonlijke gegevens worden verwerkt kan worden aangemerkt als ‘databeheerder’. Dit betekent dat de AVG niet alleen impact heeft op bedrijven die in de EU zijn gevestigd, maar ook op alle organisaties buiten de EU die persoonlijke gegevens verwerken voor de levering van goederen en diensten aan de EU of het gedrag van Europese gebruikers monitoren. Databeheerders zijn verplicht een vertegenwoordiger aan te stellen die als contactpersoon optreedt voor zowel Europese burgers als de Data Protection Authority (DPA).

2. Stel een Data Protection Officer aan

In veel gevallen zijn organisaties verplicht een Data Protection Officer (DPO) aan te stellen, die toezicht houdt op de naleving van de AVG. Dit is zeker verplicht als het gaat om een publieke organisatie, een organisatie die activiteiten uitvoert die regelmatige en systematische monitoring van gebruikers vereisen of op grote schaal persoonlijke gegevens verwerken. Gartner merkt op dat grootschalig niet altijd hoeft te betekenen dat data van honderdduizenden burgers wordt verwerkt; ook in andere gevallen kan dataverwerking worden aangemerkt als grootschalig.

3. Leg verantwoordelijkheden vast

Gartner concludeert in zijn onderzoek dat zeer weinig organisaties al ieder proces hebben geïdentificeerd waarin persoonlijke gegevens worden verwerkt. Het onderzoeksbureau wijst erop dat in de toekomst vooraf aan iedere nieuwe dataverwerking moet worden vastgelegd voor welk doel deze data is verzameld, welke relevantie deze gegevens hebben en welke kwaliteit de data heeft. Daarnaast moeten bedrijven gebruikers voortaan expliciet om toestemming vragen om hun gegevens te mogen verzamelen en verwerken. Het is niet toegestaan hierbij gebruik te maken van vooraf aangevinkte hokjes.

4. Breng grensoverschrijdende datastromen in kaart

Onder de AVG mogen bedrijven data versturen naar alle 28 EU-lidstaten, evenals Noorwegen, Liechtenstein en IJsland. Daarnaast bieden 11 landen (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Zwitserland en Uruguay) volgens de Europese Commissie een hoog genoeg niveau van databescherming om data met deze landen uit te kunnen wisselen. Wie echter data wil uitwisselen met andere landen zal hiervoor bepaalde garanties moeten leveren. Dit kan door gebruik te maken van Binding Corporate Rules (BCR’s) of standaard contractuele clausules (Europese modelcontracten).

5. Bereid uw organisaties voor op gebruikers die nieuwe rechten benutten

De rechten van gebruikers worden door de AVG uitgebreid. Het gaat hierbij om het recht om vergeten te worden, het recht op dataportabiliteit en het recht om geïnformeerd te worden (over bijvoorbeeld een datalek). Gartner adviseert bedrijven zich nu alvast voor te bereiden hierop, zodat zij adequaat kunnen reageren indien gebruikers bijvoorbeeld hun data opvragen om deze aan een andere organisatie te verstrekken of indien onverhoopt een datalek optreedt.

Dossiers
Meer over
Lees ook
Succes Internet of Medical Things is afhankelijk van edge computing

Succes Internet of Medical Things is afhankelijk van edge computing

De zorg staat aan de vooravond van een technologische revolutie waarin artificial intelligence (AI) en edge computing een bepalende rol zullen spelen. Naar verwachting zal de implementatie van zorg-gerelateerde AI met 41,4 procent groeien naar een marktwaarde van 51,3 miljard dollar in 2027, terwijl de markt voor edge cloud computing naar verwach1

Minister Grapperhaus perkt nieuwe bewaarplicht in

Minister Grapperhaus perkt nieuwe bewaarplicht in

Het wetsvoorstel voor een nieuwe bewaarplicht voor internet- en telecomproviders wordt aangepast. De bewaarplicht gaat alleen betrekking hebben op gebruikersgegevens, waaruit blijkt wie op welk moment van welk IP-adres gebruik heeft gemaakt. Verkeers- en locatiegegevens worden niet bewaard. Verkeersgegevens zijn gegevens die worden verwerkt voor h1

AVG en de cloud: Waarom de focus op boetes niet deugt

AVG en de cloud: Waarom de focus op boetes niet deugt

Discussies over de Algemene Verordening Gegevensbescherming (AVG) gaan meestal over de boetes die organisaties kunnen krijgen als ze onzorgvuldig omgaan met persoonsgegevens. Volgens Bas Loovens van DearBytes zijn er echter veel belangrijkere redenen om de bescherming van persoonsgegevens serieus te nemen. Zeker nu steeds meer organisaties gebruik1