AVG – VGV

Met het oog op de versterking van de rechten van EU-burgers op het gebied van gegevensbescherming beoogt de AVG ook de regelgevingsrichtlijnen voor het internationale bedrijfsleven te verduidelijken. Toch is de wet complex en zien veel organisaties wereldwijd het als een uitdaging om deze na te leven. De kerngedachte van de AVG, namelijk dat “eenieder recht heeft op bescherming van zijn persoonsgegevens”, is echter een idee dat altijd centraal heeft gestaan in de beste praktijken van de ITAD-industrie.

Deze regelgeving is gericht op bedrijven met een vestiging in de EU. Deze regels zijn echter ook van toepassing op vestigingen buiten Europa als zij;

1. Producten en diensten aanbieden in Europa,
2. Persoonsgegevens uit Europa verwerken, of
3. Het gedrag van mensen in Europa volgen.

Van deze drie categorieën is de verwerking van persoonsgegevens het minst eenvoudig. In het kader van deze vereisten wordt de definitie van persoonsgegevens uitgebreid en worden de rechten van personen versterkt. De AVG definieert persoonsgegevens als elke vorm van identificeerbare gegevens. Dit kunnen basisgegevens zijn zoals naam, e-mailadres of telefoonnummer, maar ook andere aanvullende elementen zoals locatie, geslacht, leeftijd en IP-adres. Zelfs als u gegevens heeft die niet direct gekoppeld zijn aan een identiteit, kunnen ze toch beschouwd worden als “persoonsgegevens” onder de AVG. Bovendien vereisen gevoelige categorieën, zoals gezondheidsgegevens, een speciale behandeling.

De juridische en financiële gevolgen van de wet zijn ingrijpend. De gevolgen van niet-naleving zijn ernstig, inclusief boetes tot €20.000.000 ($24.490.600) of 4% van de wereldwijde omzet, evenals het risico van collectieve rechtszaken van slachtoffers van datalekken. Overtreders zullen ook onvermijdelijk te maken krijgen met verstoring van de bedrijfsvoering en schade aan hun reputatie.

Elk bedrijf, ongeacht zijn omvang, zal een functionaris voor gegevensbescherming (DPO) moeten aanstellen om toezicht te houden op de naleving van de voorschriften. Deze persoon kan een werknemer of een derde partij zijn met “uitgebreide kennis van gegevensbeschermingswetten en -praktijken” (hoewel de lidstaten de mogelijkheid hebben strengere criteria te eisen). De DPO is verantwoordelijk voor het opleiden van personeel en het uitvoeren van interne audits, alsmede het informeren van de toezichthouders als en wanneer zich een datalek voordoet. Deze meldingen moeten “onverwijld” en binnen 72 uur na de vaststelling van de overtreding worden gedaan, ongeacht of deze het gevolg is van een ongeval of van nalatigheid. In sommige gevallen zal de functionaris voor gegevensbescherming ook verplicht zijn de personen van wie de gegevens gecompromitteerd zijn, op de hoogte te brengen.

Sinds de stemming in het Verenigd Koninkrijk over “Brexit” in juni is er ook veel discussie geweest over de gevolgen daarvan voor de invoering van het GDPR (AVG) in het Verenigd Koninkrijk. Momenteel is de regering voornemens het GDPR ten uitvoer te leggen, aangezien dit van kracht zal worden voordat het Verenigd Koninkrijk de EU verlaat. Er zijn geen plannen om de verordening te wijzigen, hoewel daar op de lange termijn geen rekening mee is gehouden.

Het meest verontrustende risico van niet-naleving zijn de hoge boetes. Sancties voor het overtreden van de wet kunnen oplopen tot vier procent van de jaarlijkse inkomsten van een internationale onderneming. Bijkomende risico’s zijn onder meer;

• Verplichte aanpassingen van de rapportage op bevel van de autoriteit gegevensbescherming,
• Reputatieschade en
• Verlies van vertrouwen bij partners en klanten.

De risico’s zijn groot en daarom wordt er zoveel aandacht besteed aan deze nieuwe verordening. Uw grootste kans om uw blootstelling te verlagen, zelfs bij niet-naleving, is om te laten zien dat u een proces op zijn plaats hebt en preventieve maatregelen neemt. Op het gebied van ontmanteling van IT-apparatuur kunt u uw ITAD-beleid bijwerken (of maken) om deze maatregelen op te nemen als manier om uw proces te documenteren.