Wat is de GDPR/AVG?
(volgens Wikipedia (en dan is het waar)
https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbeschermingquote:De Europese privacyverordening algemene verordening gegevensbescherming (AVG) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. In het Engels heet de AVG General Data Protection Regulation (GDPR). Deze verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening. Het EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.
Eind mei is deze nieuwe wetgeving bedacht in Brussel een feit. Dat besluit is al in mei 2016 genomen dus bedrijven hebben twee jaar de tijd gehad om zich hier op voor te bereiden. Wie heeft er met zijn bedrijf al de maatregelen genomen of heeft goede tips hoe wij ons hier aan kunnen gaan voldoen?
Wat zijn je ervaringen met de Gegevens Functionaris binnen jouw organisatie en of de privacy consultant die je hebt ingeschakeld?
Ook je verwerkingsovereenkomst voor online discussies met mede FOK!ers mag je delen in dit draadje.
Al met al lijkt de voorbereiding voor dit belangrijke stukje wetgeving nog ver te zoeken, zowel bij de overheid die duizenden controleurs tekort komt als bij de bedrijven die zich niet of nauwelijks bewust zijn van de inhoud van de wet.
De externe bedrijven en consultants varen er wel bij.quote:Op donderdag 1 maart 2018 21:23 schreef VEM2012 het volgende:
Wij hebben daar een extern bedrijf voor ingeschakeld die dat voor ons regelt. Ik word er iedere keer moe van als ik hoor wat het voor onze bedrijfsvoering betekent. Echt iets wat alleen ambtenaren kunnen verzinnen.
Het merendeel van de bedrijven is er echter nog lang niet klaar voor.
De combinatie privacy policies en daadwerkelijke implementatie maken dit uitdagend. Normaal gesproken kijkt niemand mee met een programmeur hoe hij zijn database of wat ook beveiligd. Schrijft een jurist ergens los een A4'tje met algemene voorwaarden en weet het management verder van niks.
Het ligt bij legal merk ik.quote:
Wat mij opvalt is dat heel veel bedrijven niet weten in welke straatje dit past. Die leggen het neer bij de IT en die zegt: "Vraag maar aan legal" en vervolgens kaatsen die het weer terug naar IT.
De combinatie privacy policies en daadwerkelijke implementatie maken dit uitdagend. Normaal gesproken kijkt niemand mee met een programmeur hoe hij zijn database of wat ook beveiligd. Schrijft een jurist ergens los een A4'tje met algemene voorwaarden en weet het management verder van niks.
Die zijn over het algemeen het beste geinformeerd over de eisen en implicaties van de regelgeving.quote:
Op Bedrijven waar ik voor werk vinden het al snel erg ingewikkeld worden om *alle* formatie die opgeslagen wordt inzichtelijk te maken. Dat is dan vaak weer een taak voor een IT afdeling.
Het veilig verwerken van de data is vaak niet echt het probleem; het verwijderen van data is voor bedrijven vaak een stuk ingrijpender.
Het gaat vooral om de praktische uitvoering op de werkvloer. Programmeurs zien een database meestal niet als een bak met gevoelige persoonsgegevens, maar gewoon een middel waarmee ze aan het testen zijn.quote:Op donderdag 1 maart 2018 21:53 schreef Citizen.Erased het volgende:
[..]
Die zijn over het algemeen het beste geinformeerd over de eisen en implicaties van de regelgeving.
Bedrijven waar ik voor werk vinden het al snel erg ingewikkeld worden om *alle* formatie die opgeslagen wordt inzichtelijk te maken. Dat is dan vaak weer een taak voor een IT afdeling.
Het veilig verwerken van de data is vaak niet echt het probleem; het verwijderen van data is voor bedrijven vaak een stuk ingrijpender.
Even een kopietje van een ingevuld formulier naar je zelf laten sturen om te kijken of alle input ook live goed doorkomt. Wat echte testdata gebruiken, omdat dat nu eenmaal een veel realistischer scenario schetst dan Piet Krediet / Vrouw van 88.
Ik moet mijn eigen mailbox al flink gaan opschonen in ieder geval.
Ik denk dat 90% van de organisaties nog geen flauw idee heeft.quote:Op donderdag 1 maart 2018 21:29 schreef nostra het volgende:
De GDPR is in het bedrijfsleven zo ongeveer het meest uitgemolken en dus best voorbereide stukje wetgeving dat je je maar kan bedenken.
Mijn ervaring is juist omgekeerd.quote:
[..]
Het gaat vooral om de praktische uitvoering op de werkvloer. Programmeurs zien een database meestal niet als een bak met gevoelige persoonsgegevens, maar gewoon een middel waarmee ze aan het testen zijn.
Even een kopietje van een ingevuld formulier naar je zelf laten sturen om te kijken of alle input ook live goed doorkomt. Wat echte testdata gebruiken, omdat dat nu eenmaal een veel realistischer scenario schetst dan Piet Krediet / Vrouw van 88.
Marketing/BI teams die zoveel mogelijk data verzamelen en opslaan lopen nu tegen problemen aan omdat de data die ze opslaan niet strikt noodzakelijk is voor de dienstverlening. Daar breekt straks de paniek uit en dat komt dan weer op het bordje van de IT teams.
De AVG wetgeving is er gekomen om betrokkenen (dat zijn klanten/clienten/medewerkers) meer grip te laten krijgen op wat er met hun persoonsgegevens gebeurt. Veel rechten bestonden echter al, bijvoorbeeld het recht om in te zien, bestond al bijna 20 jaar. Nieuwe regels, zoals het recht op vergeten te worden of het recht op data-portabiliteit is erbij gekomen. Het recht op vergetelheid is alleen strijdend met bewaartermijnen die wettelijk verplicht zijn. Die bewaartermijnen blijven ook gewoon gelden.
Wat ik verwacht, is dat er nog meer vinkjes en akkoordjes gaan komen bij diverse diensten die mensen afnemen. Niemand gaat privacyverklaringen doornemen en klikken overal maar op ja. Uiteindelijk heeft het dan ook vrijwel geen toegevoegde waarde en is dit een papieren tijger.
Gelukkig merk ik wel dat bedrijven bewuster omgaan met informatiebeveiliging. Dat is een goed punt, want er zijn namelijk nog steeds organisaties die back-up 'overbodig' vinden.
Juristen met IT-kennis inhuren is het meest efficiënt. Booming business die verwerkersovereenkomsten en privacy statements de laatste tijd.quote:
[..]
Die zijn over het algemeen het beste geinformeerd over de eisen en implicaties van de regelgeving.
Bedrijven waar ik voor werk vinden het al snel erg ingewikkeld worden om *alle* formatie die opgeslagen wordt inzichtelijk te maken. Dat is dan vaak weer een taak voor een IT afdeling.
Het veilig verwerken van de data is vaak niet echt het probleem; het verwijderen van data is voor bedrijven vaak een stuk ingrijpender.