Van Richtlijn naar Verordening

Het lijkt nog ver weg, maar mei 2018 is dichterbij dan je denkt. Dan is een eenvoudige privacyverklaring op je website echt niet meer voldoende om aan de privacyregels te voldoen. En de gevolgen bij niet naleving zullen omvangrijker zijn dan nu het geval is.


Onze wetten rond het beschermen van (digitale) persoonsgegevens zijn alweer 20+ jaar in werking. De techniek is ontzettend snel veranderd – denk aan de opkomst van social media, de exponentiële groei van het Internet of Things en de opkomst van Big Data. Dat is Wet Bescherming Persoonsgegevens (Wbp) niet. Wat misschien nog wel belangrijker is, is dat veel bedrijven in al die tijd zich weinig gelegen hebben laten liggen aan het naleven van de Wet bescherming persoonsgegevens (Wbp).

GDPR

En als Nederland zijn we zeker niet de enige. Dat is een van de redenen dat de EU-lidstaten in 2012 gezamenlijk een EU-voorstel presenteerde om persoonsgegevens beter te gaan beschermen: the General Data Protection Regulation (GDPR). Na veel debat en een van de heftigste lobby circuit ooit, werd het voorstel in 2016 aangenomen en worden op 25 mei 2018 de nationale wetten en de huidige Europese richtlijn EU Privacy Directive 95/46 vervangen door de GPDR.

50+ punten

Hierin staan 50+ privacy activiteiten waarvan bedrijven en overheden moeten kunnen aantonen dat zij daaraan voldoen. Deze activiteiten zijn onder te verdelen in 13 hoofdonderwerpen beginnend met governance en eindigend met het structureel blijven volgen van de privacy ontwikkelingen. Bij het niet nakomen van een van deze verplichtingen kan de op te leggen boete oplopen tot € 20 miljoen of 4 procent van je wereldwijde omzet.

Nog niet begonnen

Onze praktijk heeft laten zien dat maar weinig bedrijven weten waar ze moeten beginnen, en/of al begonnen zijn met het implementeren van deze 50+ activiteiten. Daarom hebben we bij PrivacyO een Plan-Do-Check-Act aanpak ontwikkeld, aan de hand waarvan stapsgewijs een aanvang gemaakt kan worden met het implementeren van de GDPR. Hierover zijn we momenteel een whitepaper aan het schrijven: GDPR Made easier.

In de komende blogs zullen we aan de hand van de dertien onderwerpen deze 50+ privacy activiteiten waaraan je als bedrijf op 25 mei 2018 moet voldoen om GDPR-accountable te zijn, bespreken. Deze onderwerpen zijn: “governance”, “register van verwerkingen”, “trainings- en bewustwordingsprogramma”, “privacy beleid en het inbedden daarvan”, “beveiligen van persoonsgegevens”, “derde partij risico’s”, “privacy verklaringen”, “verzoeken en klachtenafhandeling”, ”monitoren van bestaande en nieuwe verwerkingspraktijken”, “datalekken” en “volgen van de privacy ontwikkelingen”.

Kortom: een simpele verklaring over hoe veilig je wel met persoonsgegevens omgaat, is niet meer voldoende. Het is de hoogste tijd om actie te ondernemen. Want wie zit er nu te wachten op het oplopen van imagoschade, torenhoge boetes, en/of het risico om geconfronteerd worden met class-actions van boze klanten of burgers?

Het whitepaper “GDPR Made easier” zal voor iedereen beschikbaar zijn. Ook een exemplaar? Neem dan contact op met ons via sales@privacyo.eu