Op tijd werk maken van gegevensbescherming

Organisaties die werken met persoonsgegevens hebben nog 1,5 jaar de tijd om te zorgen dat ze hun zaken op orde hebben. In mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht en die is strenger dan de huidige Wet bescherming persoonsgegevens. Een goede en tijdige voorbereiding is dus essentieel.

6 december 2016 | Door redactie

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) van kracht. Organisaties die persoonsgegevens (laten) verwerken, moeten hieraan voldoen. Vaak komt het bij het regelen van alle interne zaken hiervoor aan op het laatste moment, maar zo’n aanpak is niet verstandig. Organisaties blijven te allen tijde zelf verantwoordelijk, ook als ze het beheer en de bewerking van persoonsgegevens uitbesteden. In de praktijk betekent dit bijvoorbeeld dat er aanpassingen moeten komen in contracten met leveranciers en partijen waarmee samengewerkt wordt. Er moet bijvoorbeeld een bewerkersovereenkomst (tool) gesloten worden, waarin wordt geregeld hoe een bewerker met persoonsdata en de beveiliging daarvan moet omgaan.

Noodprocedure oefenen

Bovendien moet er tijd zijn om de noodprocedure te oefenen in het geval van een datalek. Ook de Meldplicht datalekken (tool) wordt namelijk onderdeel van de AVG. Wie moet wat doen als blijkt dat er mogelijk persoonsgegevens in handen van derden zijn gevallen? Er is maximaal 72 uur om een lek te melden bij toezichthouder Autoriteit Persoonsgegevens.