In 10 stappen privacy proof
Al eerder informeerden wij u over de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), die met ingang van 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt.
Er zijn namelijk grote verschillen tussen de Wbp en de AVG. De AVG versterkt en breidt privacyrechten van mensen verder uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. Tevens legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Er zal dus veel gedocumenteerd moeten worden. Ook zal er gebruik gemaakt moeten worden van protocollen om zo duidelijk mogelijk de gegevensstromen weer te kunnen geven.
Dat betekent dat in iedere organisatie veranderingen doorgevoerd moeten gaan worden want nagenoeg iedere organisatie verwerkt persoonsgegevens.
De Autoriteit Persoonsgegevens (AP) heeft een 10-stappenplan ontwikkeld om zo goed mogelijk te voldoen aan de nieuwe regelgeving. Wij zetten ze hier voor u op een rij.
Stap 1: bewustwording
Alle personen die bij gegevensverwerking betrokken zijn, moeten op de hoogte zijn van de nieuwe privacyregels. Ook moeten zij de impact van de AVG inschatten op de huidige diensten en goederen en bepalen welke aanpassingen nodig zijn om aan de AVG te voldoen. Wij kunnen hierin faciliteren door het geven van een inhouse seminar voor al uw medewerkers.
Stap 2: rechten van betrokkenen
Betrokkenen krijgen meer en verbeterde privacyrechten. U dient er voor te zorgen dat zij deze privacyrechten ook goed kunnen uitoefenen. Gebeurt dit niet, dan kunnen betrokkene bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Stap 3: overzicht verwerkingen
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is bijna altijd een verplicht onderdeel hiervan. Leg vast welke persoonsgegevens verwerkt worden, met welk doel dat gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld. In de documentatie moet ook per categorie vermeld zijn op basis van welke (wettelijke) grondslag deze gegevens worden verwerkt.
Stap 4: data protection impact assessment
Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Hierdoor worden privacyrisico’s van een gegevensverwerking in kaart gebracht om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Stap 5: privacy by design & privacy by default
In de AVG zijn de verplichte uitgangspunten privacy by design en privacy by default opgenomen. Het idee is om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Dat houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Dat betekent bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Stap 6: functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen, ook wel privacy officer genoemd. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verwerken moeten in ieder geval een FG aanstellen.
Stap 7: meldplicht datalekken
De meldplicht datalekken blijft onder de AVG bestaan. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben en in bijzondere gevallen het datalek ook moeten melden aan de betrokkenen. De AVG stelt echter strengere eisen aan registraties van de datalekken die zich in uw organisatie hebben voorgedaan. Alle datalekken moeten worden vastgelegd.
Stap 8: verwerkersovereenkomsten
U dient na te gaan of u gegevensverwerking uitbesteed aan een verwerker zoals aan een softwareleveranciers, website hosts of een salarisadministrateur. Met partijen waarmee u de gegevens van betrokkene uitwisselt, dient u namelijk een verwerkersovereenkomst te sluiten. De verwerkersovereenkomst moet onder meer afspraken aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, (eventuele) sub-bewerkers, audits en de rechten van betrokkenen bevatten.
Stap 9: leidende toezichthouder
Omdat de AVG een Europese verordening is geldt de wet voor alle landen die hierbij zijn aangesloten. Wanneer een organisatie vestigingen heeft in meerdere EU en/of EER-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten impact hebben, dan heeft de organisatie onder de AVG nog maar met één privacy toezichthouder te maken. Dit wordt de leidende toezichthouder genoemd. U hebt dus niet in ieder EU en/of EER-land een andere autoriteit waaraan u verantwoording moet afleggen.
Stap 10: toestemming
De gegevensverwerking in een organisatie is soms gebaseerd op toestemming van de betrokkenen. De AVG stelt strengere eisen aan die toestemming. Uw organisatie moet kunnen aantonen dat zij geldige toestemming heeft gekregen om hun persoonsgegevens te verwerken. Overigens moet het net zo makkelijk zijn om de eerder gegeven toestemming weer in te trekken.
Tot slot: BOETES
Overtredingen van de AVG kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze boetes zijn aanzienlijk hoger dan de boetes uit de Wbp. Zorg dan ook dat alles op tijd en correct geregeld is, zodat de kans op een boete minimaal is.
Heeft u hierover nog vragen? Dan kunt u uiteraard contact met ons opnemen!