Nieuwe privacywetgeving (GDPR): van regels naar doen

Geplaatst op : 8 juni 2017
Nieuwe privacywetgeving (GDPR): van regels naar doen

De nieuwe Europese privacywetgeving GDPR (General Data Protection Regulation) komt eraan. U zit misschien niet te wachten op meer wetgeving, maar we kunnen het ook positief bekijken: eindelijk komt er vanaf mei 2018 een wetgeving die, voor een groot deel, alle nationale wetgevingen van Europese landen gaat vervangen. Het gebruik van persoonlijke gegevens over landsgrenzen heen wordt duidelijker gereguleerd en daarom een stuk gemakkelijker.


Wat verandert er door de wet?

In Nederland geldt nu de Wet Bescherming Persoonsgegevens. Deze lijkt sterk op de GDPR. Zo blijven de uitgangspunten om persoonsgegevens te mogen verwerken in de basis hetzelfde. Maar er zijn belangrijke aanscherpingen. Een betrokkene, krijgt straks het recht om zijn of haar gegevens te laten verwijderen. Dat moet het ICT-systeem van uw organisatie dan wel aankunnen. Ook kan een betrokkene een schadevergoeding toegekend krijgen wanneer een organisatie onzorgvuldig met zijn of haar persoonsgegevens omgaat.


Privacy-risico's aantoonbaar managen

Nieuw binnen de wetgeving is de verplichting om privacy-risico's aantoonbaar te managen. Elke organisatie die persoonsgegevens verwerkt, moet straks ook achteraf kunnen aantonen welke handelingen zij heeft uitgevoerd en welke maatregelen zij heeft genomen om privacy-risico’s te beperken. De nieuwe wetgeving geeft de toezichthouder het recht audits uit te voeren om te controleren of er inderdaad voldoende maatregelen zijn genomen.


Wat betekent dit voor u?

Op dit moment komt u pas in beeld bij de wetgever als het mis gaat, bijvoorbeeld bij een datalek. Bij de GDPR wordt dit heel anders: u zult bij een audit moeten kunnen aantonen dat u steeds ’in control’ bent geweest. Zelfs zonder ongelukken kunt u al in overtreding zijn. Iedere organisatie zal het onderwerp privacy dus actief en gestructureerd moeten oppakken.


Risicomanagement wordt een eis

De GDPR staat voor verantwoordelijkheid nemen en verantwoording afleggen. Risicomanagement van privacy wordt een wettelijke eis. Daarvoor geeft de GDPR een aantal handvatten:

  • Privacy by Design
  • Privacy by Default
  • Het uitvoeren van een Privacy Impact Analyse
  • Het documenteren van alle bewerkingen met persoonsgegevens.

Voor de meeste organisaties zijn dit nieuwe onderwerpen. Onderwerpen die een onevenredige inspanning kunnen vragen. Gelukkig kan de pijn worden verlicht door binnen het onderwijs gezamenlijk op te trekken.


Afspraken binnen onderwijs

Binnen de onderwijssector kunnen, in overleg met onderwijsinstellingen, ouderraden en andere betrokkenen afspraken gemaakt worden, net zoals dit eerder gebeurde bij de wet bescherming persoonsgegevens. Bijvoorbeeld over de eisen die de onderwijssector aan veel gebruikte clouddiensten stelt. Als deze afspraken vastliggen voor een deel of de gehele sector is het voor onderwijsinstellingen eenvoudiger om aan de wettelijke eisen te voldoen. Maar denk ook aan gestandaardiseerde vereisten rond privacy policies bij het uitwisselen van persoonsgegevens bij (buitenlandse) stages of het gebruik van fotomateriaal.


Nieuwe eisen verzekeraars

Verzekeraars zullen nieuwe eisen stellen aan uw privacy-risicomanagement wanneer u zich wilt verzekeren tegen de gevolgen van cybercrime. Een mooi moment dus om met uw adviseur te bespreken hoe u zich het beste voorbereidt. Neem daarvoor contact op met Saskia Knegtmans. Zij is bereikbaar via 06 20 43 54 87.


Wilt u meer informatie?

De specialisten van Meeùs Onderwijs helpen u graag verder.

Maak een vrijblijvende afspraak

Reacties (0)
Plaats een reactie via een van uw sociale netwerken
Resterend aantal karakters: