Privacywet 2018

Heeft u al van de nieuwe privacywet, de zogeheten Algemene Verordening Gegevensbescherming (AVG) gehoord? En zo ja, bent u al bezig met de voorbereidingen die daarmee samenhangen?

Hoe gaan wij als Keylane hiermee om en wat verandert ervoor onze klanten?

Het zal u niet ontgaan zijn dat in 2018 met de Algemene Verordening Gegevensbescherming (AVG – in het Engels: General Data Protection Regulation of GDPR) nieuwe Europese regelgeving in werking treedt die toeziet op het gebruik van persoonlijke gegevens van burgers.

In de lidstaten van de Europese Unie worden persoonlijke gegevens reeds wettelijk beschermd door Richtlijn 95/46/EC en de uitwerking daarvan op nationaal niveau. In veel gevallen zijn de bestaande wetten echter gedateerd. De AVG voorziet in de behoefte om de regelgeving te moderniseren en burgers meer controle te verschaffen over hun persoonlijke gegevens.

Om de impact van deze regelgeving te bepalen op alle geboden oplossingen en services, heeft Keylane de afgelopen maanden een interne analyse verricht. De nadruk van deze analyse lag enerzijds op de huidige compliance van Keylane’s oplossingen, en anderzijds op de compliance van onze interne procedures en beveiligingsmaatregelen. Naast deze eigen analyse op basis van self-assessments, heeft Keylane gebruik gemaakt van de expertise van EY op het gebied van de AVG (EY treedt op als de ISAE- en ISO-auditor van Keylane).

De aldus verzamelde informatie is gebruikt om te bepalen welke acties nodig zijn voor de productontwikkeling, en voor de Keylane-organisatie als geheel. Voor Benefits-Plaza luidt de conclusie als volgt:

Omdat de AVG eigenlijk niets meer behelst dan een bijgewerkte versie van de bestaande regelgeving, is Benefits-Plaza op veel vlakken al AVG-compliant. In het geval van wettelijke uitvoering (pensioen), contractuele uitvoering of een legitieme reden om informatie op te vragen, is expliciete toestemming voor het gebruik van iemands persoonlijke gegevens niet nodig.

Burgerservicenummers worden in de AVG niet expliciet genoemd. Desondanks kunnen deze gezien worden als (vertrouwelijke) persoonlijke gegevens met de bijbehorende beperkingen. Hoewel er strikt genomen geen noodzaak is om hier op grond van de AVG wijzigingen aan te brengen, zal Benefits-Plaza wel anticiperen op eventuele toekomstige ontwikkelingen door het mogelijk maken dit veld te verbergen door middel van een gebruikersrecht.

Daarnaast zal Benefits-Plaza de encryptie van opgeslagen persoonlijke gegevens verder optimaliseren.

Keylane garandeert dat zijn oplossingen klanten voldoende in staat stellen te voldoen aan de geldende wet- en regelgeving, waaronder de AVG. Desondanks blijven klanten zelf verantwoordelijk voor hun eigen compliance. Daarom adviseert Keylane altijd op onafhankelijke wijze te valideren of de Keylane-software de vereiste ondersteuning biedt.

Mocht u behoefte hebben aan aanvullende informatie, dan is er op aanvraag een memo beschikbaar waarin het standpunt van Keylane met betrekking tot de AVG uiteen wordt gezet. Deze memo is gebaseerd op eigen analyses, gebruikersgroepsessies, geraadpleegde interne en externe bronnen, alsmede onafhankelijke interpretatie van de relevante wet- en regelgeving. Desondanks kan deze memo niet gezien worden als juridisch advies aan klanten met betrekking tot hun graad van compliance met de hier behandelde onderwerpen.