Op 25 mei 2018 treedt de algemene verordening gegevensbescherming in werking, waardoor er in heel Europa dezelfde privacywetgeving geldt.
Hoe zorgt u ervoor dat uw onderneming goed is voorbereid op deze nieuwe wetgeving, welke stappen moeten er ondernomen worden?
De AVG moet er voor zorgen dat de rechten van betrokkenen op privacy worden vergroot. Het kan grote gevolgen hebben als een bedrijf of vereniging de privacy rechten niet respecteert. De autoriteit persoonsgegevens (AP) kunnen namelijk boetes opleggen van maximaal € 20 miljoen of 4% van uw omzet!
U heeft dus niet veel tijd meer om een plan op te stellen om de gevolgen van de wetswijziging te overzien.
De volgende 10 stappen kunnen u helpen goed voorbereid te zijn op de veranderende regelgeving.
1 Bewustwording
Weten u en uw werknemers al dat de AVG eraan komt en wat dit betekent voor de diensten die u levert of de interne processen die u voert?
Zorg ervoor dat de mensen uit uw organisatie weten welke veranderingen eraan komen. Breng uw diensten en processen in kaart en bekijk of er persoonsgegevens bij betrokken zijn. Als dat zo is moeten er maatregelen worden getroffen.
2 Rechten van betrokkenen
Ook op dit moment hebben de personen van wie de persoonsgegevens worden verwerkt, het recht op inzage van hun gegevens en het recht op correctie of verwijdering van deze gegevens.
Een nieuw recht onder de AVG is recht op dataportabiliteit. Dit houdt in dat wanneer er iemand weggaat bij uw organisatie, hij of zij het recht heeft om zijn gegevens over te laten dragen aan zijn nieuwe dienstverlener.
Voor zover het persoonsgegevens betreft, moet men vanaf 28 mei 2018 meewerken aan het verzoek tot overdracht van de persoonsgegevens! Doet men dat niet, dan kan uw organisatie hiervoor een klacht indienen bij de AP. De AP is verplicht om die klacht te behandelen. Mocht daaruit blijken dat de rechten niet zijn gerespecteerd of dat deze zijn processen niet op orde heeft, dan kan de AP een boete opleggen.
Zorg dat uw organisatie in staat is persoonsgegevens van klanten en relaties te overleggen en over te dragen aan derden. Lukt dat nog niet zorg er dan voor dat er maatregelen worden getroffen zodat u voldoet aan deze verplichting.
3 Inzicht in uw verwerkingen
Vanaf 25 mei 2018 bent u verplicht te documenteren welke persoonsgegevens u verwerkt, met welk doel u dat doet, en waar de gegevens vandaan komen en met wie u de gegevens deelt. Breng deze gegevens tijdig in kaart.
4 DPIA
Onder de AVG kunt u verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren.
Bij zo’n DPIA worden de privacyrisico’s van een gegevensverwerking in kaart gebracht om eventuele risico’s te verwijderen.
U bent verplicht om een DPIA uit te voeren als de gegevensverwerking in uw organisatie een hoog privacyrisico met zich meebrengt. Het is in ieder geval zo als u op grote schaal bijzondere persoonsgegevens verwerkt zoals gender, seksuele geaardheid ras of gezondheidsgegevens, of als u mensen volgt in een publiek toegankelijk gebied (cameratoezicht).
Komt er uit dat de verwerking een hoog risico oplevert (DPIA) dan moeten de risico’s verkleint worden of de verwerking voorleggen aan de AP voordat u de verwerking start.
5 Privacy ‘by design’ of ‘by default’
De beginselen van de AVG, zoals dataportabiliteit en het inzicht in de datastromen moeten terug komen in de organisatie.
Bij privacy by design wordt er bij het ontwerpen van uw producten of diensten al rekening mee gehouden dat de persoonsgegevens goed worden beschermd en dat alleen gegevens worden verwerkt die strikt noodzakelijk zijn.
Privacy by default betekent dat u technische en organisatorische maatregelen moet nemen om er voor te zorgen dat de privacy wordt beschermd. Bijvoorbeeld met een app dan moet u er voor zorgen dat de locatiegegevens niet worden geregistreerd, als iemand zich inschrijft voor een nieuwsbrief mag u niet meer gegevens vragen dan strikt noodzakelijk.
6 Functionaris gegevensbescherming
Onder de AVG kan uw organisatie verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen.
7 Meldplicht datalekken
Al vanaf januari 2016 geldt de Wet meldplicht datalekken in Nederland. De AVG stelt wel strengere eisen. Zo moet u alle datalekken bijhouden, niet alleen de gemelde datalekken.
8 Bewerkersovereenkomst
Als gegevens uit uw organisatie verwerkt worden moet u een bewerkersovereenkomst hebben, hier moet instaan hoe de bewerker met de gegevens omgaat.
9 Toezichthouder
Heeft u vestigingen in meerdere lidstaten van de EU of klanten uit meerdere lidstaten, dan is er vanaf 25 mei 2018 maar één toezichthouder waarmee u zakendoet.
10 Toestemming
Bij sommige verwerkingen van gegevens heeft u toestemming van de persoon nodig. Zorg ervoor dat de gegeven toestemming goed wordt vastgelegd. U moet namelijk kunnen aantonen dat de toestemming is gegeven. Toestemming kan ook weer worden ingetrokken.
De AVG raakt vooral bedrijven die werken met zeer privacygevoelige informatie.