De nieuwe wet Algemene verordening gegevensbescherming, kort AVG, maar ook bekend onder de internationale afkorting GDPR, gaat per 28 mei 2018 in. Vanaf dat moment geldt dezelfde privacywetgeving in de hele Europese Unie. De bestaande Wet bescherming persoonsgegevens is per die datum ongeldig.
De nieuwe wet heeft een behoorlijke impact op het aanbieden van online diensten en het verzamelen en bewerken van persoonsgegevens. Ook iets simpels als het hosten van een website en drie cookies kunnen dan boetes opleveren. De maximale boete die een Europese toezichthouder kan opleggen is 20 miljoen euro.
Een van de zaken die je nu goed voor elkaar moet hebben is dat computers en telefoons beveiligd moeten zijn met sterke wachtwoorden als er persoonsgegevens van bijvoorbeeld klanten opstaan. Klanten en bezoekers moeten weten welke gegevens van ze verzameld en gebruikt worden en daar eerst ook toestemming voor geven. En nog veel en veel meer.
Maar niet alleen dat: wat moet je met je cookies? Alles weghalen? Beheer je enorme hoeveelheden persoonlijke data? Wat ga je daarmee doen? Hoe weet je of je bedrijf hier juist mee omgaat en er niet ergens nog 'iets' blijft liggen in een hoek?
Belangrijk om wakker geschud te worden, of juist overdreven die hele nieuwe wet. Wat vind jij?
Reacties
Omdat je het zo lief vraagt.
Ik geloof dat organisaties zich meer zorgen moeten maken over de rechten die natuurlijke personen hebben, dan de veiligheid van de IT. Die laatste is gemakkelijker op niveau te brengen dan het faciliteren van de rechten die natuurlijk personen al eerder hadden en nog meer hebben met de AVG.
De GDPR gaat niet per 28 mei 2018 in. De GDPR is op 23 mei 2016 (dacht ik) ingegaan. Pas per 25 mei 2018 mag de GDPR worden gehandhaafd (van toepassing) door de Autoriteit Persoonsgegevens.
Exacte tekst:
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Zij is van toepassing met ingang van 25 mei 2018.
De invoering gaat een stap te ver, in die zin dat niet alleen bedrijven hierdoor geraakt worden, maar ook sport- en andere verenigingen. Een website met teamfoto's en namen van de spelers erbij, een ledenbestand in de cloud, een lijst van oud leden in de cloud voor een reunie, versturen van nieuwsbrief via de website en ga zo maar door; allemaal dingen waar je als vereniging ineens in actie moet komen om te voldoen aan de AVG.
Als sportclub wil je vooral bezig zijn met het aanbieden van een sport, niet met het moeten voldoen aan dit soort wetgevingen.
PaVaKe, die soep wordt niet zo heet gegeten als hij wordt opgediend.
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
De voorbeelden die je noemt kunnen gewoon doorgaan, je moet alleen even nadenken wat je allemaal over mensen verzamelt en of je dat behoorlijk beschermt.