AVG hoeft voor u geen nieuwe Millenniumbug te worden

Nieuwe privacywetgeving vraagt wel om actie:

De nieuwe wet met betrekking tot het verzamelen, opslaan en gebruiken van persoonsgebonden gegevens, de AVG Algemene Verordening Gegevensbescherming, heeft een grote impact. U leest erover in alle media en de eerste missers zijn sinds het inwerkingstellen van de wet Meldplicht Datalekken ook al uitgebreid in het nieuws geweest. Dat is niet de manier waarop u de voorpagina’s wilt halen. Maar hoe voorkomt u dat? Weten wat u aan persoonsgebonden informatie heeft en wat ermee gebeurt, is de basis voor adequaat beheer.

Meer zeggenschap en transparantie

Het is eigenlijk niets nieuws: gestructureerd en intelligent informatiebeheer ligt aan de basis van elke efficiënte, effectieve en succesvolle bedrijfsvoering. Dat er nu nieuwe Europese privacywetgeving is gekomen, verandert daaraan eigenlijk niets. De regels rondom het verzamelen en gebruiken van persoonsgebonden gegevens en de consequenties van verkeerd gebruik zijn alleen flink aangescherpt. 

Belangrijkste verschil met de komst van de AVG is dat de eigenaar van die gegevens meer zeggenschap heeft over dat verzamelen en gebruiken. Het gaat er uiteindelijk om dat u op elk moment transparantie kunt bieden over wat er met specifieke informatie binnen uw organisatie gebeurt. De wetgever spreekt bij persoonsgebonden informatie over 'alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon' (Autoriteit Persoonsgegevens). Dat kan om een grote variëteit aan gegevens gaan, uiteenlopend van medische gegevens tot een IP-adres. Allemaal informatie die kan leiden tot identificatie van een persoon of rechtspersoon (dus een bedrijf of organisatie). En allemaal gegevens zoals de AVG bedoelt. 

Inventariseren en beheren

Veel organisaties hebben echter geen idee wat er allemaal aan informatie wordt verzameld, waar het is en wat ermee gebeurt. Daarvoor zou u eerst een inventarisatie moeten (laten) uitvoeren met aansluitend de ontwikkeling van een plan om de risico’s in te schatten op verkeerd gebruik van die informatie (een Privacy Impact Analysis). Een gestructureerd informatiebeheersysteem kan vervolgens veel verlichting bieden. Daarin wordt (deels geautomatiseerd) precies bijgehouden welke informatie waar en door wie is verzameld en wat ermee is gebeurd. Dan kunt u dat ook achteraf precies toelichten, zowel intern als aan de eigenaar van die gegevens en de wetgever. Die eigenaar kan daarop vervolgens zelf beslissen of en hoe hij daarin meegaat. Want dat is één van de belangrijkste verschillen met voorheen: de eigenaar van de persoonsgebonden gegevens beslist.

Er zijn natuurlijk meer verschillen en ook belangrijke randvoorwaarden qua informatiebeheer en -gebruik gekoppeld aan de komst van de AVG. Acanthis heeft in een e-Book alle ins en outs voor u op een rijtje gezet.