AP publiceert stappenplan voor nieuwe Europese privacywet
De Autoriteit Persoonsgegevens (AP) heeft een stappenplan gepubliceerd dat organisaties kan helpen in voorbereiding op de nieuwe Europese privacywetgeving. Vanaf 25 mei 2018 moeten organisaties voldoen aan deze nieuwe wet, de Algemene verordening gegevensbescherming (AVG). Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.
De AVG geldt voor de hele Europese Unie (EU) en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet versterkt en breidt privacyrechten van mensen uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken, zo stelt de Autoriteit Persoonsgegevens. De nadruk ligt, meer dan nu, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. De toezichthouder adviseert organisaties op tijd te beginnen met de implementatie van de regels.
Om hierbij te helpen heeft de Autoriteit Persoonsgegevens 10 stappen opgesteld die organisaties kunnen doorlopen in de voorbereiding op de nieuwe privacywet (pdf). De eerste stap is volgens de AP zorgen voor bewustwording in de organisatie. In de tweede stap wordt gewezen op de rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Het gaat dan om bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Maar ook om nieuwe rechten, zoals het recht op dataportabiliteit; het recht om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie.
Verder adviseert de toezichthouder organisaties onder meer in kaart te brengen welke persoonsgegevens zij verwerken, waar de gegevens vandaan komen en met wie de organisatie ze deelt. Onder de AVG moeten organisaties een register bijhouden om te kunnen aantonen dat ze in overeenstemming met de wet handelen. Ook worden zaken als Privacy by design & privacy by default, bewerkersovereenkomsten en de meldplicht datalekken genoemd.
Privacy impact assessment
Een ander punt van aandacht is dat onder de AVG organisaties verplicht kunnen zijn een privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen om de risico's te verkleinen. Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. De Autoriteit Persoonsgegevens zal nog een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.
Helemaal mee eens. Andere stappen geldt hetzelfde voor: Zou allang standaard moeten zijn, organisaties hebben een gewoonte ontwikkeld om dit soort 'huishoudelijke' taken niet op orde te hebben maar er altijd juist een beetje lamlendig over te doen. NB, 'organisaties' -- er zijn vele professionals die wél hun uiterste best doen maar ja; arbeidsvreugde [ik word oud geloof ik] down the drain.
Zie stap 1 Bewustwording: Leest heel erg (en dat is, komende van de AP, heel erg) alsof het een bijna eenmalig ding is. Als iedereen nou maar de Wet wordt gelezen, zal iedereen vervolgens nóóit meer door rood rijden ...!
Zie stap 2: Brengt, zal blijken, een berg werk met zich -- "dat gaan we dus niet doen" / "ja, maar" / "nee en nu moet ik naar de borrel / golfen".
Stap 3: Je schreef het al.
Stap 4: "We doen 'iets' dus <vinkje>"
Stap 5: Oei dat is duur! En dan moet ik ook iets van techniek gaan begrijpen? We zitten toch in de cloud? Etc.
Stap 6: Een jurist. 'nough said. (zie https://www.computable.nl/artikel/opinie/loopbaan/5988980/1509029/wat-is-en-waaraan-voldoet-een-privacy-officer.html -- yep that's me; géén jurist of raadde je dat al)
Stap 7: Paniek! -> Done -> verstoft.
Stap 8: Papierwerk. Evenveel waard als beprint papier...? [Overigens wel noodzakelijk, dat weer wel]
Stap 9: Da's voor Juridische Zaken. Done.
Stap 10: Zie stap 2.
Ik ben dus niet zo positief... Maar goed, *any* guidance is beter dan geen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.