Het is belangrijk om te begrijpen dat de AVG op zowel oude als huidige gegevens van toepassing is, ongeacht op welk moment de persoonsgegevens oorspronkelijk verzameld zijn. Dit betekent dat u de vereisten van de wetgeving volledig dient te implementeren en voor alle gegevens die u bewaart, ongeacht wanneer deze verzameld zijn.  
 
In deze blogpost geven we u een beknopt overzicht van hoe u de gegevens die u hebt moet begrijpen in relatie tot de AVG, het bijwerken van uw retentiebeleid en het beoordelen van uw gegevens in verhouding tot de retentieperiodes. 

Lees voor meer informatie over de AVG en persoonsgegevens onze vorige blogpost:

• 5 dingen die u moet weten over gegevensbescherming

Begrijp de gegevens die u hebt

Het kennen van uw gegevenslandschap is een cruciale stap voor het naleven van de AVG en een oefening doorlopen om uw gegevens in kaart te brengen is voor dit proces essentieel. 

Bedrijven hebben vaak nog ergens oude gegevensverzamelingen liggen, met name in verouderde systemen die uitgefaseerd of vervangen zijn. Deze systemen kunnen gegevens bevatten die eerder over het hoofd gezien zijn. Veelvoorkomende voorbeelden zijn: 

• Gearchiveerde databases 
• Geëxporteerde gegevens vanuit verouderde systemen 
• SharePoint mappen van werknemers 
• Oude on-site/off-site opslagoplossingen 
• Archiefkasten 
• Opslag van het HR-archief 

Bekijk en werk uw retentiebeleid bij

Zodra u weet welke gegevens u hebt, bekijkt u uw huidige gegevensretentiebeleid. Zorg ervoor dat dit beleid up-to-date is en dat de vereisten van de AVG en de specifieke vereisten van uw organisatie erin terugkomen. Zo moeten de meeste HR-gegevens in Nederland 5 jaar bewaard worden nadat een werknemer niet meer in dienst is, voordat ze verwijderd mogen worden. 

Bekijk onze blogpost Gegevensbewaring onder de AVG voor meer informatie en tips over het implementeren van een effectief gegevensbewaringsbeleid. 

Beoordeel uw gegevens in verhouding tot uw huidige bewaarperioden 

Als bepaalde gegevens niet meer nodig zijn voor het doeleinde waarvoor ze oorspronkelijk verzameld zijn, vereist de AVG dat de gegevens op een veilige en beveiligde manier vernietigd worden. Zo wordt het risico op het bewaren van onnodige gegevens geminimaliseerd. 

Voor gegevens die nog binnen de huidige retentieperiode vallen en die nog nodig zijn, kunt u ook de afweging maken of de gegevens in hun huidige formaat opgeslagen moeten worden. Bijvoorbeeld, overweeg of het efficiënter is om fysieke dossiers om te zetten naar een digitaal formaat. Het bewaren van gegevens in de meest geschikte vorm verbetert de toegankelijkheid en ondersteunt de naleving van de gegevensbeschermingswetten. 

Samenvatting

De AVG is van toepassing op alle persoonsgegevens van inwoners van de EU, ongeacht de datum waarop de gegevens oorspronkelijk verzameld zijn. Om naleving te garanderen, moet u uw gegevens goed begrijpen door deze in kaart te brengen en alle verwerkte persoonsgegevens te lokaliseren, ook die in verouderde systemen. Vervolgens controleert u uw gegevensbewaarbeleid en werkt u dit waar nodig bij. Tot slot beoordeelt u uw gegevens en hun retentieperiode, en verwijdert u op een beveiligde manier gegevens die niet meer nodig zijn.  

De sleutel tot effectief gegevensbeheer is het begrijpen van het doel van uw organisatie voor het verzamelen van gegevens en dit afstemmen op de AVG-principes van zo min mogelijk gegevens verzamelen, beperkt opslaan en nauwkeurigheid.  

Als uw organisatie zou kunnen profiteren van aanvullende ondersteuning bij bepaalde aspecten van AVG-naleving, neem dan contact met ons op.

Misschien eerder gemist… 

• Naleving van de AI-wet Deel 4: Essentiële strategieën 
• Het begrijpen van risico’s inzake gegevensbescherming voor C-suite executives en senior leidinggevenden 
• Leadgeneratie en de AVG: is uw compliance op orde? 

The post De toepassing van de AVG op oude gegevens appeared first on DPO Centre.

Gegevensbeschermingswetten hebben het doel om personen meer controle te geven over hun persoonsgegevens door hen een aantal rechten te geven, waaronder het recht om te worden geïnformeerd over hoe bedrijven hun gegevens gebruiken; om toegang te krijgen tot de gegevens die over hen worden verwerkt; en in sommige gevallen om ze te laten wissen.

Wetgeving op het gebied van gegevensbescherming streeft er ook naar dat bedrijven de verwerkte persoonsgegevens adequaat beschermen. Naast de naleving van de hierboven genoemde rechten van personen, leggen de AVG dus nog meer beperkingen en verplichtingen op aan het gebruik van persoonsgegevens. Deze regels zijn opgebouwd rond zeven kernbeginselen:

• Rechtmatigheid, billijkheid en transparantie
• Beperking van het doel
• Gegevensminimalisering
• Nauwkeurigheid
• Opslagbeperking
• Integriteit en vertrouwelijkheid
• Verantwoordingsplicht

Het zevende beginsel, “verantwoordingsplicht”, raakt de kern van de gegevensbeschermingswetgeving. Dit legt de verantwoordelijkheid bij elk bedrijf om niet alleen de wetgeving na te leven, maar ook – en dat is van cruciaal belang – aan te tonen dat de wetgeving wordt nageleefd. Hoewel het aantonen van de naleving van deze beginselen waarschijnlijk veel tijd en financiële investeringen zal vergen, zullen de kosten van niet-naleving waarschijnlijk moeilijker te verteren zijn.

De kosten van niet-naleving

De AVG kent een tweeledig boetestelsel. Voor een minder ernstige inbreuk op de AVG kunt u een boete krijgen tot 10 miljoen euro of 2% van uw jaaromzet. Voor een ernstiger overtreding verdubbelt dit tot 20 miljoen euro of 4% van de jaaromzet. Boetes voor gegevensinbreuken liggen in het hogere segment, maar er kunnen extra kosten ontstaan door schadebeperking na inbreuk en door rechtszaken als de betrokkenen gerechtelijke stappen ondernemen.

Niet-naleving kan uw bedrijf ook de reputatie bezorgen dat het slecht omgaat met de persoonsgegevens van zijn klanten – een reputatie die moeilijk te doorbreken kan zijn. Omgekeerd kunnen bedrijven die de regelgeving naleven, hun reputatie versterken als een bedrijf dat zich bekommert om de persoonsgegevens van hun werknemers/klanten/klanten, en tevens eventuele handhavingsacties of boetes vermijden.

Wat betekent dit alles voor uw bedrijf?

U moet zich op zijn minst bewust zijn van het volgende:

1. Doorzichtigheid

De betrokkenen hebben het recht om te worden geïnformeerd over de verwerking van hun persoonsgegevens. Het is daarom van essentieel belang dat u beschikt over een uitgebreid privacybeleid dat gemakkelijk toegankelijk is. Wat u daarin moet opnemen, wordt voorgeschreven in de artikelen 13 en 14 de AVG.

2. In kaart brengen van gegevens

Voordat u een doeltreffende strategie voor gegevensbescherming kunt opstellen, is het essentieel dat u weet welke categorieën persoonsgegevens u verwerkt, waarom u de gegevens nodig hebt, wie er toegang toe heeft en hoe lang u ze bewaart. Aan de hand van een gegevensonderzoek kunt u nagaan hoe u in uw bedrijf persoonsgegevens verwerkt, zodat u risicogebieden kunt identificeren en vervolgens kunt beheren.

3. Gegevensinbreuken melden

Volgens de AVG moeten gegevensinbreuken die ernstig genoeg zijn om aan het Autoriteit Persoonsgegevens (AP) te worden gemeld, binnen 72 uur nadat u er kennis van hebt gekregen, worden gemeld. Dit tijdsbestek verandert niet in het weekend of op feestdagen, dus een efficiënte meldingsprocedure voor inbreuken is essentieel. Het is ook belangrijk dat alle werknemers worden opgeleid om te begrijpen wat een inbreuk is en waar ze die moeten melden.

4. Rechten van betrokkenen

Bedrijven hebben één kalendermaand de tijd om te voldoen aan geldige verzoeken om rechten vanaf het moment dat ze zijn ontvangen. Het is dus belangrijk dat u een vooraf bepaalde procedure hebt om deze efficiënt af te handelen.

5. Accountability

De AVG stelt de verantwoordelijken voor de gegevensverwerking en de verwerkers hoofdelijk aansprakelijk voor niet-naleving. Dit betekent dat als u als voor de verwerking verantwoordelijke persoonsgegevens doorgeeft aan een derde verwerker, u ervoor verantwoordelijk bent dat deze laatste de wet naleeft.

The post 5 dingen die u moet weten over gegevensbescherming appeared first on DPO Centre.