Organisaties hebben gevolgen privacywet 2018 onderschat

Home / Blog / Databeveiliging / Organisaties hebben gevolgen privacywet 2018 onderschat

De nieuwe privacywet die vanaf mei 2018 van kracht is, heeft grote gevolgen voor bedrijven en scholen. Het gaat om veel meer dan even het document over privacy policy aanpassen op de website.

De nieuwe Europese wetgeving voor de bescherming van persoonsgegevens staat voor de deur. Vanaf eind mei 2018 staan er sancties op het niet op orde hebben van het privacy beleid. Deskundigen melden aan het Financieel Dagblad dat ongeveer de helft van de bedrijven die het betreft hun zaakjes naar waarschijnlijkheid niet op orde zal hebben. Van Eecke van advocatenkantoor DLA Piper zegt dat bedrijven paniekeren omdat ze nu realiseren hoeveel tijd en moeite er nog in gestoken moet worden om te voldoen aan de nieuwe eisen. “De beveiliging en hele IT systemen moeten worden aangepast”, aldus Van Eecke tegen het FD.

De Algemene Verordening Gegevensbescherming (AVG), zoals de wet voluit heet, werd in april 2016 al aangenomen door het Europees Parlement. Bedrijven kregen toen twee jaar de tijd om hun beleid aan te passen. Dit werd vaak op de lange baan geschoven en nu zijn er nog ‘maar’ negen maanden over tot de nieuwe wet van kracht is.

Inhoud privacywet 2018 / AVG

De nieuwe privacywet 2018 gaat er vooral om dat organisaties meer duidelijkheid moeten geven over hun datagebruik. De privacyrechten van het individu worden uitgebreid. Het doel is om grote monopolisten zoals Google en Facebook in het gareel te krijgen en de gegevens van de vaak argeloze gebruikers beter te beschermen. Maar de nieuwe regels raken een veel breder publiek dan alleen machtige multinationals en grote monopolisten. De impact van de wet is fors voor alle organisaties die data verwerken, groot of klein. En dat zijn er een boel.

Veel van deze organisaties, zoals ziekenhuizen, bedrijven en scholen delen dagelijks persoonlijke gegevens van hun patiënten, klanten of leerlingen/studenten. Zij worden nu gedwongen daarover veel transparanter te zijn. Wat wordt er gedeeld, met wie en vooral ook waarom? Je moet als organisatie kunnen verantwoorden waarom je bepaalde gegevens deelt. En dat dan weer aantoonbaar administreren. Daarnaast moet je vaker toestemming vragen aan de klant, patiënt of student. En ook dat bewijs van gekregen toestemming moet weer vastgelegd worden. Vaak missen organisaties dit overzicht en moet hun ICT structuur aangepast worden om dit niveau van transparantie (zichtbaar) te krijgen.

De nieuwe wet moet bewustzijn creëren bij organisaties en een verandering van mentaliteit teweeg brengen. Toch zitten er ook wel wat haken en ogen aan de nieuwe wet: de aanstelling van een verplichte DPO (data protection officer) is een uitdaging. Een onafhankelijk handelende functionaris die per organisatie (!) toeziet op naleving van de nieuwe wet. Waar moeten die naar schatting 28.000 DPO’s opeens vandaan komen? De combinatie van kennis over IT als over juridische zaken is nog altijd een schaarse. Om die mentaliteitsverandering teweeg te brengen is het belangrijk toch enige mildheid te hanteren in de controle, zodat ook kleinere (welwillende) bedrijven erin kunnen slagen te voldoen aan de nieuwe eisen.

Europese toezichthouders krijgen de bevoegdheid om boetes uit te delen aan organisaties die zich niet aan de nieuwe wet houden en die boetes kunnen oplopen tot 20 miljoen euro. Enige haast om het privacy beleid aan te passen is dus niet misplaatst. Kunt u hulp gebruiken bij de transitie van uw organisatie om uw privacybeleid in orde te krijgen voor de privacywet in 2018? Wilt u sparren over data-uitwisseling bij uw organisatie en de rol van ICT daarin? Neem dan contact met ons op voor een vrijblijvend adviesgesprek.