Privacywetgeving: weet jij waar Abraham de data haalt?

Schrijf je in


Ontvang de nieuwste blogs in je mailbox.

Geslacht
optioneel

Klantinzicht Privacywetgeving: weet jij waar Abraham de data haalt?

30 augustus 2017

Het effectief gebruiken van data maakt het verschil tussen falen en succesvol zijn. Dat hoeven wij je waarschijnlijk niet meer uit te leggen. Wat dat van jou als organisatie vraagt in termen van het omgaan met data en inrichten van processen is een veel gecompliceerdere zaak.

Naast dat je zelf allerlei zaken moet organiseren moet je, als nooit tevoren, weten met wie je zakendoet als het gaat om dataverwerking en -beheer. In dit blog leg ik je uit hoe je dit praktisch kunt doen.

Onbewust privacy op de proef stellen

Door het koppelen van bestanden met derden of het vrijgeven van data aan derden ontstaat al snel de situatie dat je (on)bewust de privacyregels op de proef stelt. Dat is de reden dat (inter)nationale veranderingen in privacywetgeving worden doorgevoerd om zowel de consument als organisaties te beschermen.

Wat is de kern van de nieuwe regelgeving

De huidige Wet bescherming persoonsgegevens (Wbp) sluit volgens de Europese Commissie en het Europees Parlement niet meer aan op de ontwikkelingen in de digitale economie. Daarom is een nieuwe Europese privacy verordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG). De AVG zal naar verwachting op 25 mei 2018 van kracht worden.

De vraag is: heeft deze verordening gevolgen voor de keuze van de dataleveranciers en -verwerkers waar je zaken mee doet? Vast en zeker, want er zijn veel onderlinge afhankelijkheden!

Hoofdpunten AVG

Onderstaand een aantal uitgangspunten van de AVG op een rijtje, zonder de intentie compleet te willen zijn.

Het begint bij de plicht om verantwoording te kunnen afleggen. Ben je hiertoe niet in staat dan voldoe je al snel niet aan de AVG en maak je kans dat je strafbaar bent. Verantwoording kan alleen worden gedragen als tenminste wordt voldaan aan:

  • Beschikbaarheid van een register van de verwerkingen met beschrijvingen van de persoonsgegevens (attributen).
  • Beschrijving van doelstellingen van de verwerkingen, deze moeten specifiek zijn en er moet een gerechtvaardigd belang zijn (de overheid biedt een wettelijke grondslag).
  • Inzicht in de aard van de verwerkingen van persoonsgegevens en de categorieën van persoonsgegevens van betrokkenen.
  • Beschikbaarheid van risicoanalyse omtrent de gevoeligheid van de gegevens en de aard van de verwerkingen.
  • Documentatie over hoe informatiestromen lopen (gegevensverzameling, -verwerking en verstrekkingen aan derde partijen).

Verder staat er ook In de AVG:

  • Dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan. Dit is het zogenaamde recht om vergeten te worden.
  • De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet.

Aan de slag

De AVG heeft dus een grote impact op organisaties die verantwoordelijkheid dragen voor persoonsgegevens of derden die deze verrijken of verwerken. Dit vraagt veel van de eigen organisatie, maar ook van dataleveranciers waar men zaken mee doet.

Voorbereiding is het halve werk

De periode tot mei 2018 moet zo goed mogelijk worden benut om te voldoen aan alle onderdelen van de verordening. Er staat daarbij veel op het spel, want de sancties, zoals aangegeven, zijn aanzienlijk.

Voor een goede voorbereiding moet er bij veel organisaties nog veel gebeuren. Enerzijds moet men zelf aan de slag, maar het wordt ook steeds belangrijker om goed te weten met wie men zakendoet als het gaat om data.

Afstemming in processen

De volgende processen moeten onder meer op orde zijn, waarbij afstemming nodig is tussen interne processen en processen met derden:

  • Er moet in kaart worden gebracht welke en hoeveel persoonsgegevens er worden bijgehouden en op welke wijze.
  • Er moet voor worden zorggedragen dat er duidelijke procedures zijn voor datalekken, zodat het helder is welke stappen er genomen moeten worden en door wie bij het vermoeden van of kennisneming van een incident dat aangemerkt kan worden als een datalek.
  • Het moet helder zijn of de betrokken organisaties beschikken over een functionaris gegevensbescherming (ook wel Chief Privacy Officer of Chief Data Officer) en bekend moet zijn in hoeverre deze betrokken is bij het zorgdragen voor het voldoen aan de AVG.

PostNL Data Solutions

Bovengenoemde veranderingen zijn de reden dat PostNL al haar data gerelateerde activiteiten heeft samengebracht in het organisatieonderdeel PostNL Data Solutions. Op deze manier kan PostNL klanten nog beter bedienen bij het verkrijgen, verrijken en verwerken van data voor klantprofielen, logistieke optimalisatie en fraudepreventie.

Ook PostNL bereidt zich voor op de nieuwe wet- en regelgeving. Daarbij maken wij onder meer gebruik van het Handboek Europese gegevensbeschermings-wetgeving.

Auteur: Roon Hulshoff

0 reacties


Reageer op dit bericht