Wat verandert de AVG voor mij als ik SuiteCRM of Alfresco gebruik?

In dit drieluik gaan wij bekijken welke invloed de AVG heeft op het gebruik van Alfresco of SuiteCRM. Door het werkproces en stappenplan te volgen kan je gaan handelen volgens de richtlijnen van de AVG. Als eerste komt er een algemene introductie, daarna behandelen we SuiteCRM en we sluiten af met Alfresco. Door jou meer inzicht te geven kan je beter gaan werken met deze producten icm de AVG.

 

Deel 1: Wat betekent de AVG voor mij?

Vanaf 25 mei 2018 treedt de AVG of de Algemen Verordening Gegevensbescherming in werking. Deze AVG is een opvolger van de Wbp of Wet bescherming persoonsgegevens. De oude Wbp regelde de bescherming van de privacy van de burgers in Nederland. Deze nieuwe AVG is gebaseerd op diezelfde principes, alleen heeft men het nu eigentijdser en strikter omschreven hoe de persoonlijke gegevens gebruikt mogen worden.

De AVG laat zien waar je nu rekening mee moet houden, welke gevolgen en sancties er zijn bij het niet naleven van deze regels. Deze AVG is in het leven geroepen om de balans te herstellen ivm het verzamelen en gebruiken van (persoons)gegevens.

 

Hoe gaat het worden?

De AVG moet het voor iedereen duidelijk maken wat de rechten en plichten zijn met betrekking tot opslag, gebruik en verwerking van persoonsgegevens. Wanneer gegevens iets zeggen over een persoon, dan valt dat onder de AVG. Personen van wie deze gegevens zijn kunnen door de AVG beter hun privacyrecht uitoefenen.

Dat wilt zeggen: recht op inzage, recht op correctie & verwijdering, recht op dataportabiliteit, de mogelijkheid om klachten in te dienen bij de Autoriteit Persoonsgegevens (AP) over hoe er is omgegaan met de gegevens en de verplichte afhandeling hiervan door de AP.

 

Doel van de AVG

Het doel is om over te gaan tot privacy by design en privacy by default.

  1. Privacy by design  houdt in dat bij het ontwerpen van producten en diensten de persoonsgegevens goed worden beschermd.
  2. Privacy by default  houdt in dat technische en organisatorische maatregelen zijn genomen zodat alleen de persoonsgegevens verwerkt worden die noodzakelijk zijn voor het bereiken van het vooraf gestelde doel.

 

Zelf verantwoordelijkheid

De AVG legt meer de nadruk op de verantwoordelijkheid van de organisaties zelf. Zij moeten aantonen dat ze zich aan de wet houden. Dat wil niet zeggen dat er in de wet precies staat wat je moet doen en hoe. Je hebt de vrijheid om voor jouw organisatie passende maatregelen te nemen. Dat is prettig, omdat je voor niet-privacygevoelige gegevens niet zoveel hoeft te regelen als voor sterk-privacygevoelige gegevens. Van grote organisaties kan ook worden verwacht dat zij meer zaken regelen. Als organisatie heb je dus een verantwoordingsplicht.

Je moet aantonen, met jouw documentatie en beschreven procedures, dat je passende technische en organisatorische maatregelen hebt genomen om aan de AVG te voldoen. De meldplicht datalekken uit de Wbp blijft grotendeels ongewijzigd. Er zijn wel strengere eisen bij de registratie van de datalekken. Een datalek moet gedocumenteerd worden en aan de hand van deze documentatie bekijkt de AP of men aan de meldplicht heeft voldaan.

 

Belangrijke vragen bij deze AVG

Waarom deze nieuwe wet?

De vorige privacywet moest herzien worden omdat er op technologisch gebied veel is veranderd, waardoor deze oude wet niet meer adequaat was.

 

Gaan de mensen van wie de persoonsgegevens zijn zelf iets merken?

Deze nieuwe wet geeft eigenaren van persoonsgegevens meer middelen om voor zichzelf op te komen. Er gelden nieuwe regels voor het geven en intrekken van toestemming. Organisaties moeten kunnen bewijzen dat er geldige toestemming is gegeven.

De gebruikers hebben ook een aantal nieuwe privacyrechten gekregen: Er is recht op vergetelheid, wat wil zeggen dat mensen een organisatie kunnen vragen hun persoonsgegevens te verwijderen en dat derde partijen deze ook moeten verwijderen. Er komt recht op dataportabiliteit. Mensen hebben het recht onder bepaalde voorwaarden hun persoonsgegevens op te vragen in een standaardformaat. Dit ivm gegevensuitwisseling met andere partijen.

 

Belangrijke veranderingen voor de organisatie zelf?

Door de AVG heeft een organisatie meer plichten bij het verwerken van persoonsgegevens. Er wordt nu meer nadruk gelegd op verantwoordelijkheid van de organisatie. Deze moet nu aantonen dat de wet wordt nageleefd.

Dat wordt gedaan door een actief bijgehouden documentatie waaruit blijkt dat de genomen organisatorische en technische maatregelen voldoen aan de AVG. Ook zijn er nu concrete middelen die de organisatie helpen bij het naleven van de wet, zoals een modelbepaling voor doorgifte van persoonsgegevens.

 

Wat levert het op?

Wat voor voordelen zijn er nu? Voor de personen zelf is er meer rechtszekerheid en een gelijker speelveld. Als organisatie kan je dit zien als bedreiging (want extra werk en boetes), maar ook als stok achter de deur om het informatiebeheer eens echt goed aan te pakken.

 

Voor wie geldt deze wetgeving allemaal?

Deze AVG is van toepassing op alle organisaties die werken met persoonsgegevens.

 

Inrichten processen van de organisatie voor AVG

Kan jezelf iets doen om snel in te spelen op deze verandering? Ja dat is mogelijk, er zijn verschillende manieren omdat te doen. Bekijk altijd de stappen die de AP zelf geeft op haar site. Dat help bij het voorbereiden op deze AVG en bij het inrichten van de processen van de organisatie. Volg die stappen icm de onderstaande punten en zorg er voor dat alles voldoet aan de eisen.

Het mooie is dat SuiteCRM en Alfresco standaard al de middelen hebben om jou te helpen bij het goed beheren van persoonsgegevens. Deze informatiesystemen zijn echter slechts instrumenten die jou bij de transitie naar het voldoen aan de AVG kunnen helpen. Het begint echter bij het inventariseren van en goed nadenken over wat voor gegevens je opslaat, of die wel van belang zijn, hoe lang je die wilt/moet bewaren en of je misschien wel toestemming voor het gebruik moet vragen. Dat zijn de startpunten van waaruit de acties moeten voorkomen en die wellicht leiden tot het aanpassen van jouw werkprocessen en informatiesystemen.

Volgende week gaan wij aan de hand van het laten zien van een specifiek werkproces hoe om te gaan met SuiteCRM in relatie tot de AVG.