Finish (of start?) nieuwe privacywetgeving
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Vanaf dat moment geldt in de hele Europese Unie dezelfde privacywetgeving. De internationale naam van deze wetgeving is General Data Protection Regulation (GDPR). Bent u al voorbereid op deze nieuwe privacywetgeving? Dit zijn de stappen die u vóór 25 mei moet nemen:
1. Interne bewustwording
Zorg ervoor dat relevante mensen in uw organisatie (beleidsmakers, gegevensverwerkers) op de hoogte zijn van de nieuwe privacywetgeving. Bewustwording over de AVG-richtlijnen is essentieel voor het afstemmen van interne organisatieprocessen en het voorbereiden van uw werknemers op aanpassingen in hun werkzaamheden, bijvoorbeeld als gevolg van de aanscherping van de documentatie- en informatieplicht. Voor het aanpassen van de processen moet de datastroom uitvoerig in kaart worden gebracht. Welke gegevens worden opgeslagen? Waarom is het nodig deze op te slaan? Wie heeft er toegang tot deze gegevens?
2. Vastlegging in verwerkingsregister
In een verwerkingsregister legt u vast welke gegevens u verwerkt en met welk doel u dit doet. Waar komen deze gegevens vandaan en met wie deelt u de gegevens? Op u rust een verantwoordingsplicht en dit betekent dat u moet kunnen aantonen dat uw organisatie overeenkomstig de AVG-richtlijnen handelt.
3. Privacy Statement
In uw Privacy Statement dient u transparant te zijn richting uw klanten (van wie u data verwerkt) door ze te informeren over de dataverwerking.
4. Uitbesteding gegevensverwerking: verwerkersovereenkomst met iedere partij
Besteedt u de gegevensverwerking uit aan derde partijen? Denkt u er dan aan dat u met iedere partij afzonderlijk een verwerkersovereenkomst tot stand komen. Hierin staan de onderlinge verplichtingen over de verwerking vastgelegd.
5. Data Protection Impact Assessment (DPIA)
Vanaf 25 mei 2018 zijn sommige organisaties verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een hulpmiddel waarmee organisaties privacyrisico’s op gestructureerde en heldere wijze kunnen analyseren en in kaart brengen.
De AVG noemt drie situaties waarin de verplichting bestaat een DPIA uit te voeren, namelijk als een organisatie:
• Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
• Op grote schaal bijzondere persoonsgegevens verwerkt.
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied.
Wij adviseren u, ook als u niet de verplichting heeft, een DPIA uit te voeren.
6. Privacy by design en Privacy by default
Ook het goed beveiligen van gegevens wordt geregeld in de AVG. Belangrijke termen zijn privacy by design en privacy by default.
Privacy by design
Tijdens het ontwerpen van producten en diensten zorgt u ervoor dat persoonsgegevens goed worden beschermd. Maar ook dat er niet meer gegevens worden verzameld dan noodzakelijk en gegevens niet langer worden bewaard dan noodzakelijk.
Privacy by default
De AVG zorgt ervoor dat organisaties zich al in het voortraject van de verwerking van persoonsgegevens bewust zijn van de privacyrisico’s. U mag niet meer gegevens verzamelen dan noodzakelijk is voor het doel van de verwerking. Om de privacyrisico’s zoveel mogelijk te beperken, moet u passende technische en organisatorische beveiligingsmaatregelen nemen.
Door het uitvoeren van Privacy by design en Privacy by default richt u zich alleen op de opslag van noodzakelijke data voor de uitvoering van uw activiteiten. Dit leidt vervolgens tot het reduceren van overbodige dataopslag van personen.
7. Functionaris Gegevensbescherming
Sommige organisatie zijn verplicht om een Functionaris Gegevensbescherming aan te stellen. Deze verplichting geldt voor overheden en publieke organisaties, maar ook voor organisaties die vanuit hun kernactiviteit mensen volgen of die bijzondere persoonsgegevens verwerken. Bijzondere persoonsgegevens zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Deze gegevens mogen daarom alleen onder zeer strenge voorwaarden worden verwerkt. Denkt u aan gegevens over gezondheid, strafrechterlijk verleden of het BSN-nummer.
Als uw organisatie niet verplicht is om een Functionaris Gegevensbescherming aan te stellen, kan een aanstelling mogelijk wel nuttig zijn. U heeft dan één persoon in dienst die verantwoordelijk en gespecialiseerd is in de bescherming van persoonsgegevens. Stelt u een Functionaris Gegevensbescherming aan? Dan gelden de wettelijke regels. Als u de werkzaamheden neerlegt bij een werknemer met een andere functietitel, positie en takenpakket, dan gelden de wettelijke regels niet.
Meer informatie
Hoever bent u met het integreren van de nieuwe privacywetgeving binnen uw organisatie? De finish nadert, u heeft namelijk nog tot 25 mei a.s. Voldoet u niet aan de AVG-richtlijnen? Dan kan de Autoriteit Persoonsgegevens u sancties opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde jaaromzet. Voor meer informatie kunt u terecht op de website autoriteitpersoonsgegevens.nl/nl.
