Salesforce Trust


Algemene verordening gegevensbescherming (AVG)

Aanvang: 25 mei 2018

Voorbereiding op de AVG

Op 25 mei 2018 wordt nieuwe privacywetgeving, de Algemene verordening gegevensbescherming (AVG), van kracht in de Europese Unie (EU). De AVG breidt de privacyrechten van EU-burgers uit en brengt nieuwe verplichtingen met zich mee voor alle organisaties die gegevens van EU-personen op de markt brengen, bijhouden of ermee omgaan. Salesforce heeft zich verplicht tot het helpen van klanten bij de naleving van de AVG middels robuuste privacy- en beveiligingsbescherming.

Ik ben Salesforce-klant - hoe kan ik me voorbereiden op de AVG? 
U vindt alles wat u moet weten om zicht voor te bereiden op deze wetgeving, op de AVG-hoofdpagina (https://ec.europa.eu/info/law/law-topic/data-protection_nl).

MEER INFORMATIE

Snel wat feiten over de AVG

Wat is de AVG?

De AVG is een nieuwe, uitgebreide wet op de gegevensbescherming in de EU die bestaande wetgeving aanpast ter versterking van persoonlijke gegevens in het licht van snelle technologische ontwikkelingen, een toegenomen globalisering en meer complexe internationale stromen van persoonlijke gegevens. Deze wet vervangt de verscheidenheid aan momenteel van kracht zijnde nationale wetten op het gebied van gegevensbescherming door één set regels, die direct en onmiddellijk afdwingbaar zijn in elke EU-lidstaat.

De AVG regelt de verwerking, "waarbij is inbegrepen het verzamelen, de opslag, de overdracht of het gebruik", van persoonlijke gegevens van EU-burgers. Elke organisatie die persoonlijke gegevens verwerkt van EU-burgers, waaronder het bijhouden van hun online activiteiten, valt onder deze wet, ongeacht of the organisatie al dan niet een fysieke aanwezigheid in de EU heeft. Belangrijker nog, volgens de AVG is het concept van "persoonlijke gegevens" vrij breed en bestrijkt dit alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon (ook wel de "betrokkene" genoemd).

Welke beveiligingsmaatregelen moet ik als gevolg van deze nieuwe wet tot stand brengen?

Organisaties moeten de juiste technische en organisatorische beveiligingsmaatregelen namen voor de bescherming van persoonlijke gegevens tegen onbevoegde/ongeoorloofde verwerking en abusievelijk(e) openbaarmaking, toegang, verlies, vernietiging of wijziging. Afhankelijk van de specifieke gebruikscase en van de persoonlijke gegevens die worden verwerkt, wordt het gebruik van segregatie, encryptie, pseudonimisering en anonimisering van gegevens aangeraden en in bepaalde gevallen zelfs verplicht bij de bescherming van persoonlijke gegevens.

Hier zijn enkele voorstellen voor maatregelen die organisaties kunnen instellen voor de bescherming van persoonlijke gegevens:

  • Encryptie: hoewel niet verplicht,moedigt de wet encryptie aan als doelmatige manier om te zorgen voor de beveiliging en vertrouwelijkheid van persoonlijke gegevens.
  • Pseudonimisering: de AVG stimuleert organisaties om pseudonimisering te gaan gebruiken als op risico's gebaseerde maatregel voor de bescherming van gegevensbeveiliging en de rechten van individuen.
  • Anonimisering: één stapje verder dan pseudonimisering gaat het anonimiseren van gegevens; het is de veiligste manier voor de bescherming van persoonlijke gegevens. Om als écht anoniem te (kunnen) worden beschouwd moet het onmogelijk zijn om een willekeurig individu te identificeren aan de hand van de gegevens door een verdere bewerking of door het combineren van gegevens met andere informatie.
  • Verantwoordelijkheid: volgens de AVG is een verwerkingsverantwoordelijke verantwoordelijk voor het implementeren van maatregelen om ervoor te zorgen dat de persoonlijke gegevens waarover het beheer wordt gevoerd, worden behandeld/afgewerkt conform de principes van de AVG. Dit omvat de benoeming van een functionaris voor gegevensbescherming, het opleggen van contractuele verplichtingen voor verwerkers en het handelen volgens de principes van "privacy door ontwerp" (privacy by design) en "privacy door standaardinstellingen" (privacy by default). Daarnaast moet een verwerkingsverantwoordelijke kunnen aantonen dat deze conform de AVG optreedt, hetgeen mede omvat het bijhouden van een record van verwerkingsactiviteiten en het uitvoeren van effectbeoordelingen voor de privacy.

     Hierbij is het belangrijk op te merken dat verwerkingsverantwoordelijken volgens de AVG elke inbreuk op of schending van gegevens moeten melden bij hun gegevensbeschermingsautoriteit; dit dient zo spoedig mogelijk te gebeuren, maar in geen geval later dan 72 uur nadat men zich van de inbreuk of schending bewust is geworden, tenzij de inbreuk of schending waarschijnlijk niet leidt tot schade voor de betrokkenen. Bij een hoog risico op schade moeten de verwerkingsverantwoordelijken inbreuken op of schendingen van gegevens zo spoedig mogelijk aan de betrokkenen melden. Ook moeten verwerkers inbreuken op of schendingen van gegevens zo spoedig mogelijk aan verwerkingsverantwoordelijken melden.
 
Trailhead

European Union Privacy Law Basics (Basisbegrippen privacywetten van de Europese Unie)

MEER INFORMATIE