AVG: nieuwe privacywetgeving

Voldoet uw bedrijf aan de AVG?

Nu de AVG in werking is getreden, moeten bedrijven aantonen dat:

Er officieel toestemming bestaat voor het verzamelen van persoonlijke gegevens van de betrokken partij.

De persoonlijke gegevens veilig en beschermd zijn.

Gegevens op correcte wijze worden verwerkt en beheerd.

De gegevens op transparante, passende, eerlijke en toelaatbare wijze worden gebruikt.

Er maatregelen zijn genomen om fouten te minimaliseren en onjuistheden in de gegevens te corrigeren.

Ze adequaat kunnen reageren in geval van niet-naleving.

AVG Quickscan

De Algemene Verordening Gegevensbescherming (AVG) voorziet in een reeks verplichtingen om verantwoord om te gaan met data. Dit zorgt voor administratieve lasten en dwingt mogelijk tot organisatorische en technische maatregelen.

Wat houdt de AVG in?

De nieuwe wetgeving inzake gegevensbescherming, de AVG, beoogt de wetgeving inzake gegevensbescherming te standaardiseren en een gemeenschappelijk kader te scheppen binnen de EU om de veiligheid van de gegevens van burgers te waarborgen.
Dit is een nieuwe verplichte regeling voor bedrijven binnen EU-lidstaten op het gebied van gegevensbeheer en -bescherming en brengt nieuwe verantwoordelijkheden met zich mee.

Niet-naleving van de verordening kan leiden tot boetes van tot 20 miljoen euro of 4% van de jaaromzet.

gdpr-01

Hoe richt u uw bedrijf in voor de AVG?

De nieuwe verordening betekent nieuwe verantwoordelijkheden voor bedrijven om transparantie en de veiligheid van burgers te waarborgen bij het gebruik van hun gegevens. Om aan deze regelgeving te voldoen, moeten bedrijven de regie nemen over de informatie die zij beheren.

Vier stappen om de AVG in te voeren:

Inventarisatie

Maak een inventarisatie van de persoonlijke informatie waarmee uw bedrijf werkt en waar deze is opgeslagen

Analyseer

Analyseer het gegevensgebruik en bepaal wie er toegang toe heeft

Bescherm

Bescherm de gegevens en anticipeer op bedreigingen en zwakke plekken

Plan

Plan het bijhouden van gegevens en genereer rapporten die uw status aantonen

whitepaper_avg-small

Whitepaper

Algemene Verordening Gegevensbescherming
De impact van de AVG op uw organisatie

Download het (gratis) AVG whitepaper en krijg een antwoord op vragen als:

  • Wat is de AVG?
  • Hoe bereid ik mijn organisatie voor op de AVG?
  • Wat zijn de gevolgen bij het niet naleven van de AVG?
  • Hoe kan Prodware helpen tijdig AVG compliant te zijn?

Hoe helpt Prodware u om tijdig compliant te zijn met de AVG?

Technologie

Naleving van de AVG kan worden bewerkstelligd door het gebruik van technologie die de vereiste beveiliging en bescherming van gegevens garandeert.

Ervaring

Microsoft was het eerste bedrijf dat zijn cloud-oplossingen heeft aangepast aan de AVG-vereisten. Cloudproducten zoals Office 365, EMS, Azure, Dynamics en Windows 10, zijn al voorzien van beveiligings- en gegevensbeschermingsdiensten die wereldwijd voldoen aan de strengste normen en certificaten.

Advies

Als partner van Microsoft biedt Prodware bedrijven toonaangevende oplossingen en de productexpertise van onze professionals. Door een analyse van de huidige status van een bedrijf kunnen we de zwakke punten in de naleving van de regelgeving bepalen en oplossingen bieden die het best passen bij het profiel van de organisatie.

Professionele ondersteuning

Op basis van zijn bestaansreden en de sector, heeft elk bedrijf specifieke behoeften in de naleving van de AVG. Om de verordening in te voeren en te zorgen voor continue naleving, is professionele ondersteuning van essentieel belang.

Oplossingen voor het AVG-aanpassingstraject bij uw bedrijf

Microsoft Azure

De gegevens in uw bedrijf identificeren met Microsoft Azure Data Catalog. Identiteiten en toegang beheren met Azure Active Directory, de status van uw systemen bewaken met Azure Security Center en de vertrouwelijkheid van gegevens garanderen met data-encryptie en Azure Key Vault. Uw systemen controleren, analyseren en volgen met Azure-logboeken en audit-functies.

Microsoft Dynamics

Contacten en machtigingen beheren via het configuratiescherm van Microsoft Dynamics om gegevensprivacy en vertrouwelijkheid te waarborgen. Op eenvoudige wijze informatie identificeren en extraheren en rapporten genereren om de gegevensstatus te controleren.

Microsoft Office 365

Met Data Loss Prevention en eDiscovery de gegevens identificeren en beheren die op uw platform zijn opgeslagen. Met Advanced Data Governance Informatie classificeren om die terug te kunnen vinden wanneer u die nodig hebt en gevoelige informatie beschermen met Information Rights Management.

Microsoft Enterprise Mobility +Veiligheid

Gevoelige informatie identificeren met Microsoft Azure Information Protection, en de toegang daartoe beschermen met Azure Active Directory. Apparatuur beheren met Microsoft Intune en rapporten genereren en gegevens analyseren met Azure Information Protection.

DocuSign

Documenten die door of voor uw bedrijf veilig zijn ondertekend digitaal bewaren en documenteren en deze vertrouwelijk houden. DocuSign voldoet aan alle wettelijke vereisten om te voldoen aan de AVG.

microsoft-gdpr

Ebook

Jouw stappenplan voor de GDPR

Microsoft raadt aan om je bij het begin van het traject voor GDPR-compliance te richten op de volgende vier stappen:

  • Indentificeren
  • Beheren
  • Beveiligen
  • Rapporteren

Bent u klaar om het over de AVG te hebben?

We zijn u graag van dienst.

Laat uw gegevens en uw bericht achter via het formulier hiernaast zodat onze AVG specialist contact met u kan opnemen.

Veel gestelde vragen

Wanneer treedt de AVG in werking?

De AVG is in april 2016 goedgekeurd en aangenomen door het Europese parlement. De verordening treedt in werking na een overgangsperiode van twee jaar. In tegenstelling tot richtlijnen is hier geen machtigingswetgeving door overheden voor nodig. Dat betekent dat deze van kracht is geworden op 25 mei 2018.

Op wie is de AVG van toepassing?

De AVG is niet alleen van toepassing op organisaties binnen de EU, deze geldt ook voor organisaties buiten de EU als zij goederen of diensten aanbieden aan of het gedrag van EU-onderdanen monitoren. Zij is van toepassing op alle bedrijven die persoonlijke gegevens verwerken en bewaren van personen die in de Europese Unie wonen, ongeacht de locatie van het bedrijf.

Wat zijn de straffen in geval van niet-naleving?

Organisaties kunnen een boete krijgen van maximaal 4% van de jaaromzet wereldwijd voor het overtreden van AVG of 20 miljoen euro. Dit is de maximale boete die kan worden opgelegd voor de zwaarste overtredingen, bijvoorbeeld als u niet voldoende toestemming van de klant hebt om gegevens te verwerken of de Privacy by Design-uitgangspunten schendt. Er is een getrapte aanpak bij boetes. Een bedrijf kan bijvoorbeeld  een boete krijgen van 2% voor het niet op orde hebben van zijn administratie (artikel 28), het niet informeren van de toezichthoudende autoriteit en de betrokkene over inbreuk, of het niet uitvoeren van een effectbeoordeling. Het is belangrijk op te merken dat deze regels in gelijke mate gelden voor beheerders en verwerkers. Dat houdt in dat ‘clouds’ niet zijn vrijgesteld van handhaving van de AVG.

Wat zijn persoonlijke gegevens?

Alle informatie met betrekking tot een natuurlijke persoon of ‘Betrokkene’, die kan worden gebruikt om de persoon direct of indirect te identificeren. Dat kan van alles zijn: een naam, foto, e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of een IP-adres van een computer.

Wat is het verschil tussen een gegevensverwerker en een gegevensbeheerder?

Een beheerder is de entiteit die de doeleinden, de voorwaarden en de middelen voor de verwerking van persoonsgegevens bepaalt, terwijl de verwerker een entiteit is die de persoonsgegevens namens de beheerder verwerkt.

Hebben gegevensverwerkers expliciete toestemming van de betrokkene nodig?

De toestemmingsvoorwaarden zijn aangescherpt omdat bedrijven niet langer ellenlange en onleesbare voorwaarden vol juridisch jargon mogen gebruiken. Het verzoek voor toestemming moet zijn opgesteld in begrijpelijke en gemakkelijk toegankelijke taal, met als doel de gegevensverwerking te koppelen aan die toestemming; deze moet ondubbelzinnig zijn. Toestemming moet duidelijk te onderscheiden zijn van andere zaken en moet worden aangeboden in een begrijpelijke en gemakkelijk toegankelijke vorm in duidelijke en begrijpelijke taal. Het moet net zo gemakkelijk zijn om toestemming te geven als deze in te trekken. Expliciete toestemming is alleen vereist voor het verwerken van gevoelige persoonlijke gegevens. In dit kader volstaat  niets minder dan ‘opt-in’. Voor niet-gevoelige gegevens is ‘ondubbelzinnige’ toestemming echter voldoende.

Moet mijn bedrijf een functionaris voor gegevensbescherming (DPO) benoemen?

Een DPO moet worden aangesteld bij: (a) overheidsinstanties, (b) organisaties die zich bezighouden met grootschalige systematische monitoring, of (c) organisaties die zich bezighouden met grootschalige verwerking van gevoelige persoonlijke gegevens (artikel 37). Als uw organisatie niet binnen een van deze categorieën valt, hoeft u geen DPO aan te stellen.