GDPR compliance: méér dan alleen een bewerkersovereenkomst!

Aftellen

Op de home-page van onze website (www.sebyde.nl) is te zien hoeveel dagen er nog resten voor de voorbereiding op de nieuwe privacywetgeving. Het getal wat u daar aantreft is het aantal kalenderdagen, dus inclusief alle weekenden en vakanties. Voor de bedrijven die nog niet met de voorbereidingen zijn gestart gaat de tijd nu toch echt dringen. Onderschat dit niet.

GDPR

GDPR is de afkorting voor de General Data Protection Regulation, de nieuwe Europese privacywetgeving. In het Nederlands heet deze wetgeving de AVG (Algemene Verordening Gegevensbescherming).

EU

Deze Europese wetgeving is reeds in april 2016 ingegaan en wordt vanaf mei 2018 gehandhaafd in alle landen van de Europese Gemeenschap (28 in totaal) . Deze nieuwe wetgeving heeft gevolgen voor uw verwerkingen met persoonsgegevens. Bedrijven dienen zich hierop goed voor te bereiden. Non-compliance kan namelijk resulteren in onaangename confrontaties met de Autoriteit Persoonsgegevens met “dwingende aanwijzingen” en hoge boetes.

Aansprakelijkheid

De “verantwoordelijke” van een bedrijf is verantwoordelijk voor de gegevensverwerkingen en stelt daarvoor de middelen beschikbaar. Bij een datalek wordt de verantwoordelijke aansprakelijk gesteld. Dit geldt ook als het datalek ontstaat bij een (cloud)bewerker. Veel “verantwoordelijken” (meestal de algemeen directeur van een bedrijf) zijn zich hiervan nog steeds niet bewust. Deze nieuwe Privacywet is geen “ICT-ding”. Het heeft grote gevolgen voor de aansprakelijkheid, de accountability en je reputatie.

Aantoonbaar

Het woord “aantoonbaar” speelt een belangrijke rol in de nieuwe wetgeving. Je moet als bedrijf aantoonbaar inzicht hebben in je gegevensverwerkingen en risico’s. Je moet altijd kunnen aantonen welke organisatorische- en technische maatregelen je hebt genomen om persoonsgegevens te beschermen en de privacy ervan te waarborgen. Hoe toon je dat aan? Door het vast te leggen conform de documentatieplicht van de GDPR.

Gegevensverwerkingen

“Als je niet weet wat je hebt, kun je het ook niet beschermen”. Om je persoonsgegevens goed te kunnen beschermen moet je ze eerst in kaart brengen en de verwerkingen met die persoonsgegevens registreren (wat doe je eigenlijk allemaal met die gegevens).

Grondslag

Vervolgens moet de juridische grondslag worden bepaald van de verwerkingen. Met andere woorden: “Zijn de verwerkingen die we met persoonsgegevens doen eigenlijk wel toegestaan volgens de wetgeving?”. Een beoordeling die het beste uitgevoerd kan worden door iemand met gedetailleerde kennis van de wetgeving (Wbp en/of GDPR). Sebyde zet hiervoor een geregistreerde en ervaren Functionaris Gegevensbescherming of Data Protection Officer in. Risico’s worden duidelijk met betrekking tot de verwerkingen en bepaal je of je specifieke verwerkingen met hoog risico nog eens aan een nader onderzoek moet onderwerpen (een PIA).

Bewerkersovereenkomsten

De (wettelijk verplichte) bewerkersovereenkomst in de Wbp heeft in de GDPR een iets andere naam gekregen: Verwerkersovereenkomst.

De verwerkersovereenkomst is een overeenkomst die bedrijven moeten afsluiten met alle externe partijen die namens het bedrijf de persoonsgegevens verwerken. Bijvoorbeeld een clouddienst of een salarisverwerker. Deze overeenkomsten dienen een aantal zaken te bevatten om ze bruikbaar te maken voor de GDPR, zoals bijvoorbeeld welke verwerkingen er worden uitgevoerd, welke maatregelen er zijn genomen om de persoonsgegevens te beschermen en de garantie dat een datalek bij de verwerker direct wordt gemeld aan het bedrijf zodat het bedrijf de verplichte melding van het datalek bij de autoriteit (meldplicht datalekken) binnen de gestelde 72 uur kan doen. Sebyde kan uw verwerkersovereenkomsten beoordelen en aanpassen zodat ze bruikbaar zijn voor de GDPR.

Documentatieplicht: De privacy-administratie

De GDPR komt met een aantal plichten. Eén daarvan is de documentatieplicht. Informatie over je gegevensverwerkingen, de grondslag, de risico’s en de genomen maatregelen moet beschikbaar zijn in een actueel bijgehouden privacy-administratie.

Datalek

Bij een datalek heb je de privacy administratie nodig voor het doen van de verplichte melding aan de Autoriteit Persoonsgegevens. Als je deze informatie dan niet voorhanden hebt ben je niet in staat om de melding binnen de gestelde 72 uur te doen.

Jaarrekening

De informatie kan ook van belang zijn voor de accountant die bij het vaststellen van de jaarrekening ook een inschatting moet maken van de risico’s van het bedrijf.

Inzicht

Sebyde levert al na het uitvoeren van de eerste stap van de RI&E-Privacy een bruikbare privacy-administratie op en u heeft inzicht in de situatie met betrekking tot uw privacy-compliance. Na een risicoanalyse kunt u dan de juiste maatregelen nemen om te voldoen aan de GDPR.

Laat u voorlichten: Sebyde helpt u!

Al sinds lange tijd verzorgt Sebyde Academy presentaties en workshops over de Wbp, de GDPR en de Meldplicht Datalekken.

Presentatie

Een afspraak om een presentatie bij u aan huis te komen geven is snel gemaakt! Tijdens deze presentatie van 1- 1,5 uur krijgt u een compleet beeld van de ontwikkelingen in de privacywetgeving. Tevens gaan we in op de meldplicht datalekken, hoe een datalek kan ontstaan en op welke manier je de kans op een datalek kunt verlagen. Eye-opener voor velen. Zie voor meer informatie over onze presentaties: https://www.sebydeacademy.nl/aanbod-presentaties/

Workshop

Voor meer gedetailleerde informatie over de GDPR en op welke manier je je als bedrijf kunt voorbereiden raden we de eendaagse workshop aan. Tijdens deze workshop legt onze FG in detail uit welke verplichtingen de nieuwe wetgeving met zich meebrengt en krijgt u informatie over de nodige voorbereidingen. Zie voor meer informatie over onze workshops: https://www.sebydeacademy.nl/aanbod-workshops/

Starten

Sebyde heeft een effectief programma ontwikkeld om bedrijven te helpen naar volledige privacy compliance. Het bestaat uit een aantal duidelijke stappen. Kijk op website van Sebyde voor meer informatie over de RI&E-Privacy: https://www.sebyde.nl/rie-privacy/

Voor een eerste indruk van de situatie met betrekking tot de privacy kunt u op dezelfde pagina de privacy checklist aanvragen.

Informatie

Voor meer informatie kunt u altijd contact opnemen met Sebyde: Tel: 085-2733376

Of via e-mail: info@sebyde.nl