Elke organisatie beschikt over personeelsgegevens en gegevens van klanten: privacygevoelige informatie. Vanaf 25 mei 2018 wordt de algemene verordening gegevensbescherming (AVG) van kracht. Deze wetgeving stelt aangescherpte eisen aan de bescherming van persoonsgegevens. Ook voor Risk & Insurance Managers is de nieuwe privacywetgeving van belang vanwege de risico’s die samenhangen met het niet goed beheren en onderhouden van persoonsgegevens.
Wat is het verschil tussen de AVG en de Europese GDPR, de General Data Protection Regulation?
Geen. Het zijn verschillende benamingen voor dezelfde Europese privacywetgeving. De nieuwe wetgeving wordt vanaf 25 mei 2018 van kracht. Voor het onderwerp is momenteel veel aandacht.
Wat staat er te gebeuren?
De gegevens van personen moeten al adequaat worden beschermd op basis van de huidige wet. Maar de nieuwe wetgeving maakt organisaties in toenemende mate expliciet verantwoordelijk voor de bescherming van persoons- en klantgegevens. Organisaties moeten zich natuurlijk aan de wet houden en moeten dat met documenten kunnen aantonen (documentatieplicht). Ook moeten organisaties kunnen aantonen welke organisatorische en technische maatregelen ze hebben genomen om aan de AVG te voldoen.
Boetes
De boetes kunnen flink oplopen als je je als organisatie niet aan de regels houdt. Die kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse omzet wereldwijd. Daarnaast is er een groot risico op reputatieschade als zich een serieus incident voordoet.
Wat is het belang?
De belangen mogen beslist niet worden onderschat en nog lang niet iedereen heeft zijn zaakjes op orde. (Big)Data is het nieuwe geld en alles is steeds meer met elkaar verweven. Voldoen aan de nieuwe wetgeving draait om meer dan compliance. Denk ook aan het feit dat voor het verwerken, beheren en onderhouden van gegevens ook in toenemende mate gebruik wordt gemaakt van de diensten en systemen van derden. De nieuwe wetgeving stelt dat bedrijven en organisaties eindverantwoordelijk blijven voor gegevens van personen en klanten, ondanks uitbesteding aan derden. Overeenkomsten moeten hierop worden gescreend en waar nodig aangepast.
Wat zijn de belangrijkste veranderingen?
Verwerkingen van persoonsgegevens hoeven niet meer te worden gemeld bij de toezichthouder, de Autoriteit Persoonsgegevens. U kunt als bedrijf wel worden verplicht een Privacy Impact Assessment (PIA) uit te voeren en u kunt worden verplicht een aparte functionaris voor de gegevensbescherming aan te stellen. Via een PIA krijgt u inzicht in wat de risico’s zijn en welke maatregelen passend zijn. Een PIA wordt ook aangeduid als een data Protection Impact Assessment of een gegevensbescherming- effectenbeoordeling.
Een PIA moet u uitvoeren als u systematisch en uitvoerig persoonlijke aspecten evalueert, zoals profiling en als u op grote schaal bijzondere persoonlijke gegevens verwerkt. Voor publieke instanties gelden extra eisen.
Welke extra rechten krijgen mensen van wie u persoonsgegevens verwerkt?
Hun rechten worden versterkt én uitgebreid. U moet nog duidelijker om toestemming vragen om persoonsgegevens te verwerken en te bewaren. Maar het moet voor mensen ook heel makkelijk zijn inzicht te krijgen in hun gegevens en om hun toestemming weer in te trekken.
Ook krijgen mensen de mogelijkheid van uw organisatie te eisen dat het verwijderen van hun gegevens wordt doorgegeven aan alle andere derde partijen die hun gegevens via uw organisatie hebben ontvangen.
Daarnaast moeten mensen hun gegevens in een standaardformaat kunnen ontvangen zodat zij hun eigen gegevens eenvoudig door kunnen geven aan een andere leverancier voor dezelfde soort dienst.
Wat gebeurt er met de meldplicht voor datalekken?
Deze meldplicht is iets anders dan de AVG en blijft bestaan. Ook nadat de AVG in werking is getreden, moeten datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld en in sommige gevallen ook aan de betrokkenen van wie de gegevens zijn gelekt.
Wat staat uw organisatie te doen?
Wie binnen de organisatie moet er betrokken zijn bij dit onderwerp?
Mensen van diverse afdelingen kijken heel anders naar persoonsgegevens en het beheren daarvan in allerlei in- en externe systemen. De belangen van (bijvoorbeeld) een ICT-afdeling of Legal zijn heel anders dan voor mensen van marketing en HR. Vaak is er tussen de functionarissen van deze afdelingen niet voldoende overleg en afstemming. Een kans voor de Risk & Insurance Manager om in dat gat te springen, bruggen te bouwen en zijn toegevoegde waarde te tonen.
Zijn de gevolgen van aansprakelijkheden en boetes van de nieuwe privacywetgeving te verzekeren?
Er zijn verzekeringen. Met een (cyber)verzekering zijn risico’s voor aansprakelijkheid en de kosten van crisismanagement, privacyafpersing (ransomware) en hacking af te dekken. Dergelijke polissen kunnen ook op juridisch valk ondersteuning bieden. Of een verzekering wenselijk is en welke risico’s moeten worden gedekt, is een keuze per organisatie. Eerst moet er zicht zijn hoe er binnen de organisatie wordt omgegaan met persoons- en klantgegevens en hoe deze gegevens worden beheerd en bewaard.
Huiswerk te doen
Als organisatie moet je je huiswerk hebben gedaan: weten over welke gegevens je van wie beschikt, waar deze gegevens zijn opgeslagen (ook extern) en wie toegang heeft tot welke informatie. Hoe is de beveiliging van netwerken en informatiesystemen geregeld? Welke vorm van dataclassificatie wordt gehanteerd en gegevens mag of moet je bewaren en voor hoe lang?
Geef het onderwerp de aandacht die het nodig heeft, elke dag. Weten waar je data staan, welke derde partijen nodig zijn bij onderhoud en beheer en wie er allemaal op je netwerk zitten.