Algemene Verordening Gegevensbescherming: wat zijn nu de concrete veranderingen?

De Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei 2018 van kracht. Een verordening die op Europees niveau geregeld is en die in alle landen van de Europese Unie op dezelfde manier nageleefd zal moeten worden. Dat het betrekking heeft op het zorgvuldig omgaan met persoonsgegevens, zal je inmiddels wel duidelijk zijn.

Maar welke veranderingen vinden er plaats in de AVG in vergelijking met de Wet bescherming persoonsgegevens (Wbp), de nationale wet die al een aantal jaren van kracht is? Hoewel minister Dekker aangeeft dat voor bedrijven die al voldoen aan de Wbp er geen “aardverschuiving” zal plaatsvinden, zijn er wel degelijk veranderingen. Deze blog gaat in op de belangrijkste wijzigingen en geeft aan hoe een document management systeem, zoals ons systeem Xtendis, hierbij kan helpen.

Algemene Verordening Gegevensbescherming 2018

Allereerste is de AVG een uitvoeringswet voortkomend uit Europese regelgeving (GDPR) die de invoering in Nederland regelt. De GDPR-wetgeving geldt dus voor de gehele Europese Unie en zal dus, in tegenstelling tot de Wbp, in alle landen van de EU op dezelfde manier worden geregeld. Bovendien zijn er uitbreidingen:

a. Een wijder territoriaal toepassingsgebied. Met de komst van de AVG is de locatie, waar de verwerking van privacygevoelige informatie van EU ingezetenen plaatsvindt, niet meer relevant. 

b. Een wijder materieel toepassingsgebruik. De AVG heeft niet alleen betrekking op fysieke registers, maar ook op elektronische varianten zoals systemen, online activiteiten en databases die herleidbaar zijn naar een natuurlijk persoon.

De Verordening legt meer verantwoordelijkheid bij degene die de persoonsgegevens verwerkt, de verwerkingsverantwoordelijke. Dat vereist onder meer inzicht in de gegevensverwerking en het voeren van een privacybeleid. Hierin moet je aan kunnen tonen dat het palet aan beveiligingsmaatregelen in overeenstemming is met de privacyrisico’s van de “betrokkenen”; degene van wie je privacy-informatie bewaart. 

Onder de Wbp moest je al:

  • Persoonsgegevens op een behoorlijke, rechtmatige en transparante manier verwerken.
  • Persoonsgegevens voor een bepaald, uitdrukkelijk omschreven doel verwerken. 
  • Alleen persoonsgegevens die noodzakelijk zijn voor het doel verwerken.
  • Gegevens correct en actueel houden.
  • Als identificatie niet meer noodzakelijk is voor het doel, deze persoonsgegevens verwijderen of anonimiseren.
  • De persoonsgegevens beveiligen met technische en organisatorische maatregelen.

Een betrokkene heeft daarnaast rechten die onder de Algemene Verordening Gegevensbescherming zijn aangescherpt. Het gaat hier om het recht:

  • Op vergetelheid.
  • Op dataportabiliteit (overdraagbaarheid van gegevens).
  • Om de verwerking te beperken.
  • Om bezwaar te maken tegen verwerkingen.

Organisaties kunnen zelfs verplicht worden om een functionaris voor de gegevensbescherming aan te stellen, of moeten een data protection impact assesment uitvoeren.

Europese privacy verordening inwerkingtreding

Uit de eerder genoemde punten blijkt dat iedere organisatie die met privacygevoelige informatie werkt, te maken krijgt met de AVG. Deze verordening beslaat zowel papieren als digitale bestanden. De zorgvuldigheid die je voor de verwerking van persoonsgegevens als verwerker moet kunnen aantonen, is voor veel organisaties een hele kluif. Bij niet-naleving van de Verordening kan de Autoriteit Persoonsgegevens hoge boetes opleggen.

Hoe kan een Document Management Systeem (DMS) je helpen om aan de AVG te voldoen?

Veel persoonlijke informatie zal nog steeds vastliggen in (digitale) documenten. Documenten die ik in de praktijk tegenkom, bevinden zich op veel verschillende plaatsen. In een fysiek archief, op een
(netwerk-)schijf, in de e-mail, of in specifieke applicaties. Zie ook mijn eerdere blog: ”Een mappenstructuur is toch ook een digitaal archief?” In deze situatie is het lastig om aan de verantwoordelijkheid te voldoen die de AVG bij jou als gegevensverwerker neerlegt.

Niet in de laatste plaats omdat de uitvoerbaarheid van de aanvullende eisen zoals het “recht op vergetelheid” en “dataportabiliteit” zo haast onmogelijk worden. Wanneer je iemand wilt kunnen vergeten, zal je toch op zijn minst moeten weten waar die informatie zich bevindt. Als je de selectie vervolgens al hebt kunnen maken, moet je deze documenten ook nog kunnen overdragen. Dit gaat dus een stap verder dan bij de Wbp waarbij het recht op inzage van een betrokkene in zijn/haar gegevens al voldoende was.

Een DMS als Xtendis kan je helpen om een aantal aspecten van de AVG te tackelen. In Xtendis zijn dit onder andere:

  1. Verregaande functionele en technische veiligheidsmaatregelen die invulling geven aan de “zorgvuldigheid”. Denk hierbij aan rechten en rollen, encryptietechnieken en duurzame digitale bewaring in PDF-A of TIFF.
  2. Uitgebreide audit-trail functies, waarbij we de handelingen van gebruikers vastleggen. Zo weet je altijd wie, wat, wanneer gedaan heeft.
  3. Vele selectie- en rapportagemogelijkheden om te bepalen; waar de persoonsinformatie zich bevindt, hoe en wanneer je deze informatie moet overdragen, of vernietigen. 

Wil je ook voldoen aan de AVG?

Neem vandaag nog vrijblijvend contact met ons op!

Bij Expansion hebben we al meer dan 30 jaar ervaring met documentmanagement-oplossingen die een oplossing bieden voor onder andere de steeds veranderende wetgeving.

Ben je benieuwd hoe wij jou kunnen helpen om aan de Algemene Verordening Gegevensbescherming te voldoen? Vul dan ons contactformulier  in of maak een vrijblijvende afspraak met mij of één van mijn collega’s 010-4332306

 

marcel

Marcel Kuiper

Sales Consultant

Plaats reactie