Ben jij klaar voor de Algemene Verordening Gegevensbescherming?

Al vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf deze datum geldt er in de hele Europese Unie (EU) één en dezelfde privacy wetgeving. Op dit moment heeft elke lidstaat een eigen privacywet. Al deze afzonderlijke wetten zijn gebaseerd op de Europese privacyrichtlijn welke alweer stamt uit 1995, een richtlijn die werd vastgesteld toen het internet nog in de kinderschoenen stond. Ondertussen is er heel wat veranderd rondom het internet, daarom is het belangrijk dat ook de privacywet meebeweegt met deze veranderingen.

Wat verandert er nu voor organisaties?
Op het moment dat de AVG in werking treedt, brengt dit aanvullende verplichtingen met zich mee bij het verwerken van persoonsgegevens. Er wordt meer verantwoordelijkheid bij jou als organisatie neergelegd en jij moet kunnen aantonen dat jij je aan de AVG houdt. Deze verantwoordingsplicht houdt in dat je met documenten moet kunnen aantonen dat je voldoende organisatorische- en technische maatregelen hebt genomen om aan de AVG te voldoen.

Maar dit is slechts één van de onderdelen uit de AVG die op je afkomt. Om organisaties te helpen, heeft de Autoriteit Persoonsgegevens (AP), welke binnen Nederland verantwoordelijk ivoor de controle op naleving, tien belangrijke stappen op een rij gezet. Hieronder zijn deze stappen te vinden met een korte toelichting.

  1. Bewustwording

Zorg ervoor dat de relevante mensen in je organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op je huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

  1. Rechten van betrokkenen

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

  1. Overzicht verwerkingen

Breng je gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens jij verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

  1. Data protection impact assessment (DPIA)

Onder de AVG kun je verplicht zijn een zogeheten data protectionimpact assessment(DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

  1. Privacy by design & privacy by default

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

  1. Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag je organisatie ook vrijwillig een FG aanstellen.

  1. Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

  1. Bewerkersovereenkomsten

Heb jij je gegevensverwerking uitbesteed aan een bewerker(in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

  1. Leidende toezichthouder

Heeft je organisatie vestigingen in meerdere EU-lidstaten? Of hebben jou gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft je onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacy toezichthouder jij valt.

  1. Toestemming

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop jij toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

Wat kun jij nu al doen?

Wanneer andere organisaties persoonsgegevens voor je verwerken, dan moet je met deze partijen een bewerkersovereenkomst sluiten. Binnen deze overeenkomst leg je bijvoorbeeld vast onder welke voorwaarden persoonsgegevens mogen worden verwerkt (met welk doel), welke veiligheidsmaatregelen moeten worden getroffen, het mogen uitvoeren van een audit, of sub-verwerkers mogen worden ingeschakeld en misschien wel het meest belangrijk; binnen welke termijn word je op de hoogte gesteld van een (mogelijk) datalek.

Wanneer je gebruik maakt van onze dienstverlening, dan is het belangrijk dat je met ons een bewerkersovereenkomst sluit. Heb je vraagtekens bij de invulling hiervan, dan helpen wij je graag verder bij het opstellen van deze overeenkomst. Meer weten over dit onderwerp? Neem dan ook een kijkje op de website: autoriteitpersoonsgegevens.nl

© Copyright 2018 - Contict Realisatie: Webton.nl