Per 25 mei 2018 is de wet Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

De Europese privacyverordening algemene verordening gegevensbescherming (AVG) gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. In het Engels heet de AVG General Data Protection Regulation (GDPR). Deze verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, waarbij de hoogste variant geldt. Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving. Het EU voorstel is om de AVG op 25 mei 2018 te laten vergezellen door de e-privacyverordening. Het EU-VS-privacyschild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.

Om het overzicht te houden raden wij aan om onderstaand stappenplan te hanteren.

Google en Microsoft doen er alles aan om te voldoen aan de eisen van de AVG. De gebruikersvoorwaarden krijgen een update op 15 mei 2018 die aangepast is voor de AVG. Beide diensten dragen bij aan het succesvol implementeren van de AVG binnen uw organisatie.  Informatie over Office 365 en Avg is te vinden op de volgende pagina.

Het opslaan van persoonsgegevens in de cloud is in principe volgens de AVG, mits er is voldaan een aantal voorwaarden:

1. Er moet een overeenkomst zijn tussen u en Microsoft, een zogeheten gebruikersovereenkomst, waarin de privacyaspecten van de dienstverlening zijn beschreven. Hier staan onder beveiliging, continuïteit en toegankelijkheids zaken beschreven. Microsoft gaat zijn gebruikersvoorwaarden aanpassen om te voldoen aan de wetgeving. Deze moeten door gebruikers worden geaccepteerd.
2. De veiligheid van de gegevens moet daadwerkelijk zijn gewaarborgd, en je moet daar toezicht op kunnen uitoefenen. De ander mag er niet bij kunnen tenzij dat noodzakelijk is voor de dienst. Microsoft en haar medewerkers garanderen dat ze niet kijken in uw gegevens, tenzij het strikt noodzakelijk is.
3. De persoonsgegevens moeten in de Europese Unie (heel formeel de EER, dus ook Noorwegen of Zwitserland zijn goed) zijn opgeslagen. Microsoft Office 365 heeft zijn data opgeslagen bij een Europees dochterbedrijf van Microsoft. De VS (waar Google z’n data neerzet) wordt als veilig gezien. Dit omdat er een overeenkomst is tussen de EU en de VS (het Privacy Shield).

Op de website Frankwatching staat een mooi artikel over wat de GDPR/AVG aandachtspunten zijn voor een digtal markeer. Met de volgende punten kan een marketeer nu al aan de slag.

•  Inventariseer:

1. Welke data je verzamelt
2. Van wie je dat doet
3. Met welk specifiek doel
4. Welke tools en partners (‘verwerkers’) hierbij betrokken zijn.
5. Hoe data wordt verwerkt en opgeslagen

• Maak op je website gebruik van https-encryptie, in elk geval voor de formulieren
• Zorg voor verwerkersovereenkomsten met belangrijke partners en toolleveranciers. Bekijk de handleiding voor verwerkers van persoonsgegevens.
• Update je cookiepolicy en privacystatement.