Wat is GDPR?

GDPR is een afkorting voor General Data Protection Regulation. In het Nederlands wordt het algemene verordening gegevensbescherming (AVG) genoemd. Het is een Europese privacyveroudering die in mei 2016 de verouderde databeschermingsrichtlijn uit 1995 heeft vervangen. Tot 25 mei 2018 hebben organisaties de tijd om de bedrijfsvoering aan te passen aan de nieuwe verordening.

Belangrijke doelen van GDPR/AVG

  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Bron: https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming

Wat moet ik doen?

Werk je al volgens de nieuwe richtlijnen? Hoe controleer je dat? Aan de hand van onderstaande stappen kan je onderzoeken of je aanpassingen moet doen om aan de regelgeving te voldoen.

Inventariseren

Breng in kaart welke persoonsgegevens je nu en in het verleden hebt verzameld. Bijvoorbeeld op een mailinglijst. Maar denk ook aan persoonsgegevens waaraan een persoon is te herleiden zoals een IP adres. En vergeet de gegevens in een back-up methode niet. Onderzoek ook waar de gegevens zich bevinden. Op eigen systemen? Of bij een leverancier van de dienst zoals b.v een online dienst om nieuwsbrieven te versturen.

Beleid

Zodra je weet welke gegevens op welke plek staan kan je onderzoeken wat je kunt doen om aan de regelgeving te voldoen. Wie heeft toegang? Wie kan wijzigen? Hoe lang worden gegevens bewaard (denk weer aan de back-up!). Worden gegevens goed verwijderd nadat deze niet meer nodig zijn?

Beveiligen

Onderzoek de beveiliging van de toegang tot de persoonsgegevens. Ga uit van calamiteiten zoals verlies van hardware (b.v. laptop of smartphone) of een hack. Controleer of de toegang ook maximaal beveiligd is. Is er bijvoorbeeld twee-staps-verificatie mogelijk?

Beheren

Beschrijf je beleid en controleer of de afspraken worden nageleefd. Denk bijvoorbeeld aan een beleid waarbij de wachtwoorden regelmatig worden vervangen. Of het vernietigen van data op ongebruikte hardware of back-ups.

Meer tips: