Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) van de EU is een bindende wetgevingshandeling met betrekking tot de bescherming van persoonsgegevens en individuele rechten. De AVG vervangt de gegevensbeschermingsrichtlijn 95/46/EG.
Het is ontworpen om de wetgeving inzake gegevensprivacy in heel Europa te harmoniseren, om de gegevensprivacy van alle EU-burgers te beschermen en te versterken en om de manier waarop organisaties gegevensprivacy benaderen te hervormen. De AVG vereist dat bedrijven redelijke manieren implementeren om hun gegevens te beschermen, zoals versleuteling, om deze te beschermen tegen gegevensverlies of blootstelling.
De handhavingsdatum van de AVG is 25 mei 2018.
Wie wordt er door beïnvloed?
De AVG is van toepassing op alle organisaties binnen de EU of buiten de EU die persoonsgegevens van EU-burgers verwerken en bewaren om: goederen of diensten aan te bieden of hun gedrag binnen de EU te controleren.
Hoe kan bestandsversleuteling bijdragen aan compliance?
Zoals overweging 83 in de AVG stelt:
"Om de veiligheid te handhaven en verwerking in strijd met deze verordening te voorkomen, moet de controller of processor de risico's die inherent zijn aan de verwerking evalueren en maatregelen nemen om die risico's te beperken, zoals versleuteling."
Organisaties moeten ervoor zorgen dat hun persoonlijke gegevens veilig worden opgeslagen, zowel on-premise als in de cloud, om kostbare datalekken te voorkomen. Bestanden die zijn versleuteld, worden onbruikbaar gemaakt wanneer ze worden geschonden.
Wat zijn de sancties bij niet-naleving?
Organisaties kunnen een boete krijgen van óf maximaal 4% van de globale jaaromzet voor het overtreden van de AVG óf € 20 miljoen - welke van de twee het hoogste is. Dit is de maximale boete die kan worden opgelegd voor de zwaarste overtredingen. Het is belangrijk op te merken dat deze regels van toepassing zijn op zowel verwerkingsverantwoordelijken als verwerkers - wat betekent dat 'clouds' niet zullen worden vrijgesteld van AVG-handhaving.
Hoe gaat het AVG om met persoonlijke data lekken?
In het geval van een inbreuk op persoonsgegevens stelt de verwerkingsverantwoordelijke zonder onnodige vertraging, indien mogelijk, niet later dan 72 uur nadat hij er kennis van heeft genomen, de toezichthoudende autoriteit op de hoogte van de inbreuk op de persoonlijke gegevens.
Wat zijn mijn verantwoordelijkheden onder het AVG?
Als uw organisatie persoonsgegevens verwerkt, stelt de Information Commissioner's Office (ICO) dat u geacht wordt uitgebreide maar evenredige bestuurlijke maatregelen te nemen. Deze maatregelen moeten het risico op inbreuken minimaliseren en de bescherming van persoonsgegevens waarborgen. De exacte verantwoordelijkheden die van toepassing zijn, zijn voor elke organisatie anders, afhankelijk van de grootte, de branche en wat voor soort gegevens worden opgeslagen.
Voldoet mijn website aan de AVG?
Om te bepalen welke websites gegevens verzamelen en daarom hun privacybeleid moeten bijwerken, heeft vpnMentor hun onderzoek gebaseerd op sites die MailChimp gebruiken om e-mailadressen van gebruikers te verzamelen. Ze hebben maar liefst 100 websites per land verzameld en hebben hun privacybeleid bekeken, als de websites dat hadden, om te bepalen of het GDPR-compatibel was.
Welke impact heeft de Brexit op de AVG? Zal het van toepassing zijn op bedrijven in het VK?
Als uw bedrijf in het VK is gevestigd, moet het ook voldoen aan de EU-regelgeving. Het VK heeft verklaard dat het zal voldoen aan de AVG en dat de naleving niet zal worden beïnvloed door Brexit.