Op 25 mei 2018 trad de veel besproken Algemene Verordening Gegevensbescherming (AVG) in werking. Sindsdien heeft iedere organisatie te maken gehad met de verplichtingen die de AVG met zich meebrengt. De AVG geeft inmiddels meer helderheid over wat geregeld dient te worden op het gebied van privacy. Toch zijn er ook nog vragen en uitdagingen.
Vraag direct AVG compliance scan aan.
Van voorlichting naar handhaving AVG
In de eerste periode nadat de nieuwe privacywetgeving ging gelden, heeft de Autoriteit Persoonsgegevens (AP) er bewust voor gekozen om zich vooral te richten op voorlichting, normuitleg en normoverdracht. Nu in 2019 blijft de AP voorlichting geven om de naleving van de privacywetgeving te bevorderen, maar ze gaan ook steviger inzetten op de handhaving nu organisaties bekender zijn met de nieuwe privacywet.
Privacyklacht
Sinds de invoering van de AVG neemt de AP elke privacyklacht in behandeling. In 2018 heeft de AP ruim 11.000 klachten ontvangen. Deze klachten gingen vooral over de schending van privacyrechten, zoals het recht op inzage. Mensen hebben recht op inzage in hun persoonsgegevens. Iedereen mag een organisatie vragen of deze persoonsgegevens van u heeft vastgelegd en zo ja, welke. Er hoeft geen specifieke reden te zijn voor een inzageverzoek. Geven organisaties geen gehoor aan deze verzoeken van klanten dan is dat in strijd met de privacywetgeving en kan het AP dwangsommen opleggen.
Datalekken
Verantwoord omgaan met persoonsgegevens valt of staat met een goede beveiliging van gegevens. Indien de beveiliging niet op orde is kan dit leiden tot een datalek, met alle gevolgen van dien. Een organisatie die een ernstig datalek heeft, moet dit in melden aan de mensen van wie de gegevens zijn. Ook moet het datalek in sommige gevallen gemeld worden bij de AP.
In 2018 zijn er 20.881 datalekken gemeld bij de AP. Het aantal meldingen is meer dan verdubbeld vergeleken met 2017. In 2018 heeft de AP bij 298 datalekmeldingen actief actie ondernomen richting de organisaties die het datalek gemeld hebben. Over het algemeen leidden deze acties tot een waarschuwing en beëindiging van de overtreding. Hieronder vielen ook interventies naar mogelijke datalekken bij organisaties die het datalek níet hadden gemeld bij de AP.
Zo werd begin april bekend dat duizenden dossiers van Jeugdzorg Utrecht gelekt waren. Dit datalek ontstond doordat een oude domeinnaam van Jeugdzorg Utrecht niet werd verlengd. Omdat de organisatie dossiers van patiënten onbeveiligd en automatisch ook naar oude e-mailadressen van werknemers stuurde, konden de nieuwe eigenaren van de website alle gevoelige informatie opvragen.
AVG in de paktijk
De bewustwordingsfase voor organisaties is voorbij. Maar het antwoord op de vraag of de AVG inmiddels in iedere organisatie is doorgevoerd is helaas simpel: nee. Nog lang niet alle organisaties zijn hier op ingericht. Maar het is wel tijd om nu maatregelen te treffen.
De IT-auditors van 2-Control kunnen in een paar dagen de huidige situatie van uw organisatie m.b.t. privacy, informatiebeveiliging en AVG in kaart brengen. Dit doen we m.b.v. een AVG compliance scan. Naar aanleiding van de uitgevoerde AVG compliance scan krijgt u een rapport met daarin het compliance niveau van uw organisatie en een overzicht met bevindingen en adviezen voor het doorvoeren van verbeteringen.
Meer weten over onze aanpak? Vraag dan hieronder uw AVG compliance scan document aan.