De datawet, voldoe jij al?

Ben jij al bekend met de nieuwe datawet, de AVG of GDPR? Vorig jaar schreef ik er al even over, maar vanaf 25 mei moet je eraan voldoen! Al ben je een eenmanszaak, promotieleverancier of kleine ondernemer, je moet je houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming. Deze datawet komt in de plaats van de huidige Wet bescherming persoonsgegevens. En is veel strenger. De DDMA heeft hier een mooi artikel over geschreven om het uit te leggen. Dit zijn de 10 punten waar je op moet letten:

 

1. Zorg dat de datawet leeft

Maak iemand binnen jouw organisatie volledig bewust en verantwoordelijk voor wat er moet gebeuren binnen jouw organisatie. De datawet is niet alleen een data aangelegenheid, maar heeft ook een juridische en beveiligingskant.

 

2. Teken je dataflow

Je moet kunnen aantonen dat je je aan de wet houdt. Het is dus verplicht om een ‘verwerkingsregister’ bij te houden. Hierin moet staan wie er bij de data kan en waarom., maar ook wat de bron is en wie er allemaal betrokken zijn.

 

3. Bewerk je veel gegevens? stel een FG aan

Als je bijzondere persoonsgegevens (bijv. bankgegevens) op flinke schaal bewerkt of om andere redenen risico loopt met belangrijke gegevens, heb je een data protection officer of functionaris gegevensbescherming (FG) nodig. Als dit voor jou geldt, vergeet dan niet de FG aan te melden bij de Autoriteit Persoonsgegevens.

 

4. Werk met dataminimalisatie

Dit betekent dat je geen data bewerkt of opslaat die je niet nodig hebt voor het verwerken van de gegevens. Hier moet je ook als je een app hebt rekening mee houden. Nu moet je app of site namelijk zo staan dat de klant bewust privacy gegevens met je deelt. Dus de standaard instellingen moeten uitstaan qua delen van gegevens, privacy by default noemen ze dat.

 

5. Sluit een bewerkersovereenkomst

Verstuur je wel eens wat via een drukkerij? Heb je een webbouwer? Of laat je wel eens je bureau aan de knoppen van je email programma? Dan moet je met hen (en alle partijen die zij gebruiken) verwerkers- of bewerkersovereenkomsten sluiten.

 

6. Wees technisch voorbereid

Klanten hebben straks het recht om vergeten te worden. Dus niet alleen om uit te schrijven maar om helemaal uit jouw database verwijderd te worden, overal! Ook moet je het mogelijk maken om hun gegevens te delen. Houd hier technisch rekening mee.

 

7. PIA wordt verplicht

Met een PIA (privacy impact assessment) beoordeel je het effect van een specifieke verwerking van persoonsgegevens. Dit is een verplicht onderdeel van de nieuwe datawet. Je moet hierin opnemen welke gegevens en waarom deze worden verwerkt/bewaard. Hier komen dan privacyrisico’s uit, die eventueel verbeterd moeten worden en soms gemeld.

 

8. Geef niet iedereen toegang

Onder de nieuwe datawet moet je bewijzen dat, wanneer, hoe en waarvoor iemand toestemming heeft om aan data te zitten. Hier moet die persoon toestemming voor hebben en deze toestemming moet gemakkelijk terug te trekken zijn.

 

9. Stel je eigen beleid op

Denk bij het opstellen van je databeleid aan toegangscontrole, logging van bewerking, fysieke maatregelen voor toegang, encryptie, controles, beheer van back-up en beveiliging van je netwerk. Het klinkt allemaal heel heftig, maar het is dus de nieuwe wet! En helaas moet iedereen voldoen aan deze nieuwe datawet vanaf 25 mei.

 

10. Meld je datalek

De meldplicht datalekken blijft bestaan. De eigenaar van de data blijft dus verplicht een lek binnen 72 uur te melden bij de toezichthouder. Als jij de data voor iemand anders bewerkt, ben je verplicht om binnen 24 uur het lek bij je opdrachtgever te melden.


Hier lees je het hele artikel of tips van de DDMA.

Deze blogs vind je misschien ook interessant