Bent u AVG-proof?
Bent u AVG-proof?
We hebben u diverse malen geïnformeerd over de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), die per 25 mei 2018 is ingegaan.
Dat houdt in dat uw organisatie reeds AVG-proof moet zijn. Op grond van de AVG heeft u als organisatie meer verantwoordelijkheid om aan te tonen dat u aan de privacyregels voldoet. Er zal dus veel gedocumenteerd moeten worden. Bent u nog niet AVG-proof, dan is er werk aan de winkel.
Uw organisatie heeft onder meer volgende verplichtingen:
- Nagenoeg iedere onderneming dient een verwerkingsregister bij te houden. Daarin legt u vast welke persoonsgegevens verwerkt worden, met welk doel dat gebeurt en met wie ze worden gedeeld. In de documentatie moet ook per categorie vermeld zijn op basis van welke (wettelijke) grondslag deze gegevens worden verwerkt.
- U dient verwerkersovereenkomsten te sluiten op het moment dat u gegevensverwerking van persoonsgegevens uitbesteed aan een verwerker zoals aan softwareleveranciers, website hosts of een salarisadministrateur. De verwerkersovereenkomst moet onder meer afspraken aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, (eventuele) sub-bewerkers, audits en de rechten van betrokkenen bevatten.
- U dient na te denken of u een functionaris voor de gegevensbescherming (FG) dient aan te stellen. Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen, ook wel privacy officer genoemd. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verwerken moeten in ieder geval een FG aanstellen.
- Beveiliging: u dient na te gaan of u de persoonsgegevens die u in uw bezit heeft voldoende heeft beveiligd.
- De AVG verplicht namelijk om aan betrokkene aan te geven hoe u met persoonsgegevens omgaat. U dient betrokkene te informeren over de gegevens die worden verwerkt, voor welk doeleinde dit gebeurt, de rechtsgrond voor de verwerking, wie de gegevens zullen ontvangen en welke bewaartermijn er wordt gehanteerd. Dat kan middels een op maat gesneden privacyverklaring. Deze betrokkene betreffen ook uw werknemers. Het ligt voor de hand om de privacyverklaring voor uw werknemers op te nemen in een personeelshandboek of in een gedragscode.
- U dient na te gaan of u Data Protection Impact Assessment moet opstellen. Een DPIA is alleen verplicht als een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie 1) systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering 2) op grote schaal bijzondere persoonsgegevens verwerkt en 3) op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
- U dient een datalekprotocol op te stellen en een datalekregister bij te houden. De meldplicht datalekken blijft onder de AVG bestaan. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben en in bijzondere gevallen het datalek ook moeten melden aan de betrokkenen. De AVG stelt echter strengere eisen aan registraties van de datalekken die zich in uw organisatie hebben voorgedaan. Alle datalekken moeten worden vastgelegd.
Overtredingen van de AVG kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet. Los van het feit of de Autoriteit Persoonsgegevens een boete oplegt, kunt u ook aansprakelijk gesteld worden door de betrokkene voor het niet voldoen aan de verplichting voortvloeiende uit de AVG.
Zorg dan ook dat alles zo snel mogelijk en correct geregeld is, zodat de kans op schade minimaal is!!
Wij kunnen u helpen uw organisatie AVG-proof te maken. Neem daarvoor contact op met Hilde van Hilst-Meuwese.