10 vragen en antwoorden over de Avg
In dit document hebben we 10 vragen en antwoorden over de Algemene verordening gegevensbescherming op een rij gezet.
In dit document hebben we 10 vragen en antwoorden over de Algemene verordening gegevensbescherming op een rij gezet.
In de Avg (GDPR) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.
‘Iedereen is de weg kwijt in het GDPR-oerwoud’, stond er eind februari op de website van ChannelConnect. Het enorme aanbod aan diensten om per 25 mei te voldoen aan de Avg/GDPR zorgt voor verwarring bij ondernemers. Het hoeft niet ingewikkeld te zijn, maar dan moet je wel accepteren dat je je compliance in de basis zélf moet regelen.
Hoe wapen je jouw bedrijf tegen de gevaren van cybercrime? Dat veel MKB’ers onvoldoende antwoord hebben op deze vraag constateerden wij al eerder. We deden daarom in 2016 een oproep aan het kabinet om meer aandacht te besteden aan de digitale weerbaarheid van het MKB. Ons plan voor een Digital Trust Centre (DTC) kreeg in 2017 groen licht en dit jaar start het ministerie van Economische Zaken en Klimaat in samenwerking met het ministerie van Justitie en Veiligheid met het programma.
Een datalek kan voor een organisatie verstrekkende gevolgen hebben. De schade die hieruit voortkomt omvat meer dan alleen een bestuurlijke boete. Denk bijvoorbeeld aan reputatieschade. Maar de meest belangrijke vorm van schade is toch wel het gevolg van het niet tijdig of niet volledig melden van een datalek. Dit wil je als bedrijf voorkomen! Hoe goed is jouw bedrijf voorbereid op een datalek? Neem deel aan ons simulatiespel en krijg meer inzicht in en kennis over een datalek en de eventuele gevolgen!
De Algemene Verordening Gegevensbescherming (Avg) trad al in 2016 in werking. Vanaf 25 mei 2018 is hij ook daadwerkelijk van toepassing. In de tussenliggende twee jaar moeten niet alleen bedrijven zorgen dat ze hun zaken op orde hebben, ook onze wetgever moet aan de bak. Deze week werd de zogenaamde ‘uitvoeringswet Avg’ (uAvg) aangenomen door de Tweede Kamer. Een formaliteit? Niet helemaal. In de uAvg zit een aantal punten die het vermelden waard zijn.
Bedrijven zijn op dit moment hard bezig om per 25 mei te voldoen aan Avg (GDPR). Maar ook het kabinet moet aan de bak. De Europese regels moeten namelijk nog vastgelegd worden in de Nederlandse wet. Onlangs bleek echter dat minister Dekker in tijdnood komt en voorstelt een aantal vernieuwingen op de lange baan te schuiven. En dat betekent dat bedrijven mogelijk ook na 25 mei nog te maken kunnen krijgen met aanpassingen in de wetgeving.
De ICT-sector is heel divers, maar één ding hebben de meeste ICT-bedrijven gemeen: ze verzamelen, bewerken en bewaren data in opdracht van hun klanten. Voor deze rol van ‘data processor’ geeft de Avg (GDPR) andere regels dan voor verantwoordelijken. Om ICT-bedrijven te helpen aan deze regels te voldoen, heeft Nederland ICT de Data Pro Code ontwikkeld.
Is je verwerkersovereenkomst nog niet Avg-proof? Krijg je talloze verwerkersovereenkomsten van klanten en weet je niet hoe je daarmee om moet gaan? Loop je aan tegen eisen van klanten waar je niet goed aan kunt voldoen of twijfel je of je eigen verwerkersovereenkomst aan de Avg voldoet? Kom dan naar deze praktische workshop over de verwerkersovereenkomst!
Nu de ingangsdatum van de Avg (GDPR) nadert, wordt onze helpdesk Avg steeds vaker gevonden door bedrijven met vragen over de nieuwe privacywet. Een belangrijke afweging daarbij is welke wettelijke rol je als ICT-bedrijf hebt: ben je alleen ‘verantwoordelijke’, of ook ‘verwerker’? Het blijkt dat dit voor veel bedrijven nog onduidelijk is. Onze nieuwe quickscan biedt dan uitkomst.
Soms kan het plaatsen van een komma of een interpretatie daarvan het verschil betekenen tussen een administratieve last van een paar miljoen of niet. Dat is precies wat er nu speelt bij de nieuwe Europese privacyregels, de Avg.
Onze Helpdesk Juridisch krijgt veel vragen over de Avg. Waar gaat deze verordening precies over? Wanneer is er precies sprake van verwerking van persoonsgegevens? Wat is het verschil tussen een verwerker en de verwerkingsverantwoordelijke? En wat kan Nederland ICT voor mij betekenen? We hebben het voor je op een rij gezet.
Wat is een verwerkersovereenkomst, wie moet deze sluiten en wat moet er allemaal in staan? We hebben het voor je op een rijtje gezet in deel 9 van de serie De Avg uitgelegd..
Er is geen Nederlandse wet nodig om de Avg in Nederland te laten gelden. De Avg werkt in Nederland rechtstreeks vanaf 25 mei 2018. Wel zijn er een aantal punten waarop landen de vrijheid hebben de Avg nader in te vullen of de uitvoering praktisch te regelen. In Nederland komt er daarom een Uitvoeringswet Avg (UAvg). Een wetsvoorstel daartoe is in de kerstvakantie ingediend bij de Tweede Kamer.
Belgische beveiligingsonderzoekers hebben een lek gevonden in het beveiligings protocol wat gebruikt wordt door WiFi. Dat is vandaag bekendgemaakt. Het beveiligingslek, ‘KRACK’ genaamd, zit in WPA2, de wereldwijde standaard voor het inloggen op wifi-netwerken.
Wanneer is het recht op dataportabiliteit van toepassing? Welke gegevens moeten verstrekt worden als de betrokkene erom vraagt en op welke manier? Moeten de betrokkenen geïnformeerd worden over dataportabiliteit? En moeten verwerkers altijd de data aan hun klanten teruggeven? We hebben het voor je op een rijtje gezet.
Eerst een waarschuwing. Dit wordt een column over de aankomende Europese privacywetgeving. Maar blijf doorlezen, want ik ga je niet bombarderen met ingewikkelde juridische terminologie. Ik ga je ook niet bang maken met verhalen over dreigende megaboetes. “Bedrijven in paniek…”, kopte het Financieel Dagblad een tijdje terug. Ik denk dat er voor het gemiddelde ICT-bedrijf geen reden is voor paniek. Sterker nog, de nieuwe regels zouden de digitale transformatie wel eens kunnen bevorderen.
Op een bijeenkomst voor voornamelijk vertegenwoordigers uit de overheid over data governance en hoe je de Avg moet implementeren, viel juridisch adviseur Sylvia Huydecoper een aantal dingen op.
Met de publicatie van de miljoenennota is duidelijk geworden dat het kabinet gehoor geeft aan de oproep van Nederland ICT om meer aandacht te besteden aan cybersecurity voor het MKB. Het ministerie van Economische Zaken maakt in 2018 € 2,5 mln vrij voor het opzetten van een Digital Trust Center (DTC) om MKB-bedrijven in staat te stellen hun eigen cybersecurity te organiseren.
In dit deel van de serie ‘De Avg uitgelegd’ gaan we in op de nieuwe rol van de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens. De toezichthouder krijgt bijvoorbeeld hogere boetebevoegdheden. Welke bevoegdheden zijn dit en wat zijn de gevolgen van de Europese samenwerking voor bedrijven? We hebben het voor je op een rijtje gezet.
In dit deel van de serie ‘De Avg uitgelegd’ gaan we in op wat een Privacy Impact Assessment is, wie en wanneer een PIA moet doen, wat de rol als verwerker is bij een PIA en hoe je een PIA aanpakt als verantwoordelijke.
De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) is met een grote meerderheid aangenomen door de Eerste Kamer. 50 van de 75 senatoren stemden in met de wet, die vanaf 1 januari 2018 gaat gelden. De afgelopen jaren was er veel protest tegen de nieuwe bevoegdheden binnen de Wiv, ook uit de ICT-sector. Het zal nu in de praktijk moeten blijken wat de impact van de wet is en of de mate van toezicht volstaat.
Er is een ernstig tekort aan informatie over cybersecurity bij het bedrijfsleven in Nederland. Dat constateert de Cyber Security Raad (CSR) in een advies dat vandaag (5/7) uitkomt. Op dit moment is er alleen tussen de overheid en vitale sectoren sprake van structurele uitwisseling van informatie. De CSR adviseert de overheid een landelijk dekkend stelsel voor informatievoorziening in te richten.
Na de uitbraak van WannaCry was het een kwestie van tijd voor er een nieuwe aanval met malware op zou duiken. Dat lijkt nu het geval te zijn. Sinds gisteren worden er in meerdere landen gevallen gemeld van infecties met een nieuw stuk malware: een variant van de Petya ransomware. Het roept opnieuw de vraag op hoe we dit soort uitbraken van malware kunnen bestrijden.
Wanneer je persoonsgegevens verwerkt, zijn er onder de Avg nieuwe verplichtingen waaraan je moet voldoen. Deze verplichtingen zijn voor verwerkers van persoonsgegevens net even anders dan voor verwerkingsverantwoordelijken van persoonsgegevens. Wat moet je als bedrijf vastleggen wanneer je persoonsgegevens verwerkt? En op welke manier kun je dit het beste doen? We hebben het voor je op een rijtje gezet.