De AVG is een Europese verordening. Een verordening is formele Europese wetgeving die boven nationale wetgeving gaat. En die verordening treedt nu per 25 mei 2018 in werking in heel Europa en dus ook in Nederland. Het vervangt de WBP, de Wet Bescherming Persoonsgegevens. De eerste reactie van de mensen die ik dit vertelde, was vaak: “nou en...?”.
Helaas beseft men kennelijk niet dat de invoering van deze verordening voor vrijwel alle bedrijven nogal ingrijpend gaat zijn. De afnemers van ICT-systemen, zullen zowel beleid als procedures moeten aanpassen en ICT-leveranciers zullen wellicht extra functionaliteiten moeten gaan inbouwen. Een hoop werk op korte termijn.
Van WBP naar AVG
De AVG wordt dus de vervanger van de WBP. Deze laatste beschermde al (het gebruik van) persoonsgegevens.
In het kort komt het er daarbij op neer dat gegevens alleen voor het doel waarvoor zij bestemd zijn mogen worden verzameld en gebruikt. En bovendien mogen ze niet of anders maar tijdelijk worden opgeslagen. Bij geconstateerd verkeerd gebruik, of “lekkage”, mag de Autoriteit Persoons-gegevens een boete opleggen tot maximaal €820.000.
Er zijn bedrijven met minder winst....
De vergaande invloed van de AVG
De invloed van de AVG op bedrijven met werknemers is niet mis te verstaan. De eisen uit de WPB zijn vastgehouden. Daarbij komen echter nog een aantal zeer ingrijpende maatregelen:
- Voor het gebruik van persoonsgegevens moet een werkgever expliciet toestemming vragen aan de “eigenaar”. Dat mag niet meer via een clausule in de arbeidsovereenkomst! De persoon in kwestie moet in een gesprek worden gewezen op de plannen voor gebruik van de gegevens door de onderneming en op zijn/haar rechten daarbij. De persoon moet verder worden gewezen worden op het recht om die toestemming in te trekken!
- personen hebben het recht een kopie van hun personeelsdossier op te vragen,
- personen hebben het recht om “vergeten” te worden. Bedrijven moeten dat zorgvuldig kunnen uitvoeren en aantonen dat het zo is gebeurd,
- voor bedrijven met meer dan 250 werknemers geldt dat alle acties mb.t. gegevensverwerking moeten worden gelogd!
De Autoriteit Persoonsgegevens mag bij overtreding van de AVG een boete opleggen van maximaal €20 Miljoen! Alle reden om deze wet dus serieus te nemen!
Drie acties te nemen vóór 25 mei 2018
Autorisaties, functioneel beheer, opslag, security, alles moet al over 8 maanden (!) aan nog strengere eisen dan nu uit de WBP gaan voldoen!
Gegevens mogen alleen opgeslagen worden voor het doel waarvoor zij dienen. Actie 1: er zal een uitgebreide auditfunctie moeten worden geïmplementeerd om dat aan te kunnen tonen. Deze functie is niet alleen een kwestie van een simpele BI-query, maar een uitgebreide mogelijkheid om zeer gericht track-and-trace van acties, een log dus, te genereren en daarop te controleren en te sturen door het Mgt. Dat betekent dat veel van de huidige ICT-systemen zullen moeten gaan worden aangepast. Bedrijven moeten dat van hun leveranciers gaan eisen; leveranciers zelf moeten die functionele specificatie in hun aanbieding gaan opnemen.
Natuurlijk moeten de systemen betrouwbaar zijn om aansprakelijkheid te voorkomen. Niet alleen tegen lekkage, maar ook tegen onjuist gebruik. Actie 2: het juridische deel van een overeenkomst moet dat dekken. Niet met algemene aansprakelijkheids- en vrijwaringsclausules, maar concreet.
De stakes are high...!
Actie 3: de interne werkwijze zal moeten worden aangepast, meer autorisaties, meer chinese walls, meer rapportage, meer toezicht. Verder zal eens goed moeten worden gekeken naar de contractuele relatie met externe gegevensverwerkers, zoals salarisadministrateurs. Die moeten ook aan de AVG gaan voldoen. Een bedrijf is daar zelf aansprakelijk voor.
Sprintje op de marathon
Zie hier al een drietal acties die ik als Management op de agenda zou zetten. En daar zou ik niet te lang daarmee wachten; het wordt toch al sprintje op de marathon om e.e.a. voor 25 mei 2018 te kunnen realiseren, lijkt me.
Dit blog werd eerder gepubliceerd op Minolo: http://minolo.nl/de-avg-kom-er-aan/
Gerelateerde blogs
Word lid van
ICT Valley
Door lid te worden kunt u een actieve bijdrage aan de groei en ontwikkeling van ICT binnen de Regio Foodvalley. Daarnaast kunt u deelnemen aan projecten of interessante events.
Schrijf je in