Met ingang van 25 mei 2018 vervangt de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens. De nieuwe privacyregels hebben een grote impact op je bedrijfsvoering. Met de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen en ze moeten kunnen aantonen dat ze zich aan de wet houden. Organisaties die zich niet aan de AVG houden riskeren een strenge straf, van maximaal 20 miljoen euro of 4% van de wereldwijde omzet.
De 10 belangrijkste stappen:
De Autoriteit Persoonsgegevens (AP) wordt in de aanloop naar de nieuwe wet vaak benaderd met de vraag óf een bedrijf of organisatie een functionaris voor de gegevensbescherming (FG) moet hebben. Ze hebben de antwoorden op deze en andere vragen in tien belangrijkste stappen op een rij gezet (Bron: AP):
Stap 1: Bewustwording
Organisaties moeten ervoor zorgen dat alle bij de verwerking van persoonsgegevens betrokken mensen op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. De implementatie van de AVG kan veel vragen van de beschikbare menskracht en middelen, daarom is een vroegtijdige voorbereiding zeer gewenst.
Stap 2: Rechten van betrokkenen
Onder de AVG krijgen mensen van wie de organisatie persoonsgegevens verwerkt meer en verbeterde privacyrechten. Het is van groot belang dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar hou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Mensen moeten makkelijk kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie. Mensen kunnen bij de AP een klacht indienen over de manier waarop de organisatie met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Stap 3: Overzicht verwerkingen
Breng de gegevensverwerkingen in de organisatie in kaart. Documenteer welke persoonsgegevens verwerkt worden en met welk doel dat gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld. De AVG legt een documentatieplicht op, wat inhoudt dat aangetoond moet kunnen worden dat de organisatie handelt in overeenstemming met de AVG. Deze documentatie kan ook nodig zijn als betrokkenen hun privacyrechten uitoefenen. Als zij vragen hun gegevens te corrigeren of te verwijderen, moet dit doorgegeven worden aan de organisaties waarmee deze gegevens zijn gedeeld. In de documentatie moet ook per categorie vermeld zijn op basis van welke wettelijke grondslag deze gegevens worden verwerkt. Beroept uw organisatie zich bijvoorbeeld op een gerechtvaardigd belang of wordt toestemming gevraagd aan de betrokkenen?
Stap 4: Privacy Impact Assessment
Onder de AVG kunnen organisaties verplicht zijn een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen, waarmee vervolgens maatregelen kunnen worden genomen om risico’s te verkleinen.
Een organisatie moet een PIA uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Die inschatting kan nu alvast gemaakt worden. Als uit een PIA blijkt dat de beoogde verwerking een hoog risico oplevert, en het niet lukt om maatregelen te vinden om risico’s te beperken, dan moet de organisatie met de AP overleg plegen. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG.
Stap 5: Privacy by design en by default
De organisatie kan nu al vertrouwd worden gemaakt met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default.
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd.
Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de organisatie wenst te bereiken.
Voorbeelden:
· Bij het aanbieden van een app de gebruikers niet hun locatie laten registeren als dat niet nodig is;
· Op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
· Als iemand zich op een nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Stap 6: Functionaris voor de Gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Deze persoon wordt ook wel aangeduid als ‘privacy officer.’ Bepaal nu alvast of dit voor uw bedrijf of organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Een organisatie mag ook vrijwillig een FG aanstellen.
Stap 7: Meldplicht Datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan registratie in de organisatie van de datalekken die zich er hebben voorgedaan. Alle datalekken dienen gedocumenteerd te worden. Aan de hand van deze documentatie moet de AP kunnen controleren of de betrokken organisatie aan de meldplicht heeft voldaan.
Stap 8: Bewerkersovereenkomsten
Is de gegevensverwerking van de organisatie uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Stap 9: Leidende toezichthouder
Wanneer een organisatie vestigingen heeft in meerdere EU-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten impacthebben, dan heeft de organisatie onder de AVG nog maar met één privacytoezichthouder te maken. Dit wordt de leidende toezichthouder genoemd.
Stap 10: Toestemming
De gegevensverwerking in een organisatie kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer om die reden de manier waarop uw organisatie toestemming vraagt, krijgt en registreert en zorg voor de benodigde aanpassingen. Nieuw is dat de organisatie moet kunnen aantonen dat zij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Hulp nodig om AVG compliant te worden?
Bekijk onze producten en diensten samenhangend met de AVG en de mogelijkheden die er zijn om de software van AFAS daarvoor te benutten.