GDPR - deel 1: inleiding

GDPR_1


AVG
of GDPR.
Wat moeten we daarmee?
Even herhalen:
Vanaf 25 mei 2018 wordt deze Algemene Verordening Gegevensbescherming (AVG) of
General Data Protection Regulation (GDPR) van kracht.
De verordening heeft als doel het eindeloos en mogelijk onveilig verzamelen van persoonsgegevens
door bedrijven en organisaties in te perken.

Wacht even...

Hadden we niet reeds zoiets?

Inderdaad.
De Belgische Privacy wet ter bescherming van persoonsgegevens,
voluit de "Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens",
is een wet die de burger moet beschermen tegen misbruik van zijn persoonlijke gegevens.

Dus...?

Ondanks de uitbreidingen door de wet van 11 december 1992 en de Koninklijke Besluiten van 2001 en 2003
is de wereld sindsdien dermate veranderd (denk internet, Facebook, Google, ...) dat zich een aanpassing opdrong.
Een aanpassing die best op Europees niveau wordt uitgewerkt.

De AVG is reeds in mei 2016 in werking getreden.
Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen.
Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken.
De maximale boete bedraagt 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming,
waarbij de hoogste variant geldt.

De nieuwe privacyverordening steunt op enkele basisprincipes:
  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

25 mei 2018, 20 miljoen euro boete...
Indien het nog nodig was, worden we hier wel even wakkergeschud.

en voor ons…?

De AVG gaat zeker impact hebben op de wijze waarop architecten hun werkzaamheden uitvoeren en
de hoeveelheid werk dat dit met zich meebrengt.
Met name het artikel 25: “Gegevensbescherming door ontwerp (Privacy by Design) en door standaardinstellingen (Privacy by Default)”,
is van invloed op de architect.
Er worden passende technische en organisatorische maatregelen vereist om
te voorkomen dat persoonsgegevens op een onrechtmatige manier worden verwerkt.

Uiteraard komen niet enkel architecten in aanraking met deze wet,
alle grote en kleine bedrijven, zelfstandigen en organisaties, Europees of niet Europees, moeten zich in regel stellen en hun bedrijfsprocedures aanpassen.

Inderdaad, wij moeten ook een aantal werkmethodes aanpassen en bijsturen en
onze software moet waar mogelijk onze gebruikers helpen bij deze opdracht.

Samen op zoektocht…

Vandaar dat ik voorstel om u mee te nemen op onze zoektocht naar de best mogelijk manier om te voldoen aan de GDPR.
Terzelfder tijd bekijken wij hoe we archiorum kunnen bijwerken zodat de belangrijkste vereisten van de GDPR reeds van bij de start zijn ingebouwd.

In deel 2 bekijken we het verschil tussen de huidige weggeven en de nieuwe GDPR.
Deel 3 zoekt uit waarover we eigenlijk praten, wat zijn persoonsgegevens?.
En tenslotte bouwen een systematiek en stellen we een stappenplan op waaraan we de verschillende onderdelen van de GDPR kunnen aftoetsen.

Geïnteresseerden vinden hier de volledige tekst van de wet.GDPR - deel 4: eindelijk iets praktisch
GDPR - deel 3: de basisprincipes
GDPR - deel 2: het verschil
GDPR - deel 1: inleiding
AVG, GDPR, Privacy?