Vanaf 25 mei 2018 zal de nieuwe Algemene verordening gegevensbescherming (AVG) van kracht zijn. Deze wet vervangt de huidige wetgeving die in Nederland van actief is, de Wet bescherming persoonsgegevens. Binnen de Europese Unie verschillen veel landen nog qua wetgeving op het gebied van privacy. Door deze nieuwe wetgeving, die in de gehele EU wordt doorgevoerd, zal in elke lidstaat dezelfde wetgeving van kracht zijn. Wat houdt dit exact in voor onze klanten?
Stap 1: Bewustwording
De relevante personen in jouw organisatie ervan op de hoogte brengen. De personen kunnen dan een inschatting maken op welk gebied deze wetgeving effect gaat hebben op de organisatie. Wanneer jouw bedrijf deze processen in kaart heeft gebracht, kan er actie worden genomen. Houd er wel rekening mee dat er veel menskracht en middelen in kan gaan zitten om te voldoen aan de AVG.
Stap 2: Rechten van betrokkenen
De betrokkenen krijgen onder de AVG meer en verbeterde privacyrechten. Zorg er dus voor dat deze worden nageleefd. Denk hierbij aan rechten zoals het recht op correctie en verwijdering en het recht op inzage. Verder dien je ook rekening te houden met nieuwe rechten, de zogeheten recht op dataportabiliteit. De essentie van dit recht is dat betrokkenen op een gemakkelijke wijze aan hun gegevens kunnen komen en vervolgens kunnen doorgeven aan een andere organisatie, mocht dit nodig zijn.
Wanneer jouw organisatie dit niet goed voor elkaar heeft bestaat de kans dat mensen klachten gaan indienen bij de autoriteit persoonsgegevens, zij zijn dan verplicht om deze klachten in behandeling te nemen.
Stap 3: Overzicht verwerkingen
Breng op welke wijze de organisatie persoonsgegevens verwerkt in kaart. Ook het doel van deze verwerkingen is belangrijk. Organisaties mogen op basis van 5 grondslagen persoonsgegevens verwerken. Deze zijn:
– Toestemming van de gebruiker
– Vitale belangen
– Wettelijke verplichting
– Overeenkomst
– Algemeen belang
– Gerechtvaardigd belang
Onder de nieuwe wetgeving, de AVG, heeft jouw organisatie een verantwoordingsplicht. Dit houdt in dat de organisatie moet kunnen aantonen dat er gehandeld wordt volgens de AVG. Een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Meer over de verantwoordingsplicht vind je op de volgende link: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg
Stap 4: Data protection impact assesment
Onder de AVG kan jouw organisatie verplicht zijn om een data protection assessment uit te voeren. De DPIA is een instrument om de privacyrisico’s in kaart te brengen van jouw organisatie. Na dit assessment kunnen er vervolgens maatregelen worden genomen om deze risico’s te verkleinen.
Deze DPIA dient worden uitgevoerd als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt. Bekijk op de volgende link of jouw organisatie een DPIA moet uitvoeren: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia
Stap 5: Privacy by design & privacy by default
Privacy by design houdt in dat bij de beginselen van een nieuwe dienst of product er al gezorgd wordt een goede bescherming van persoonsgegevens. Dit heeft ook betrekking op dat jouw organisatie niet meer gegevens verzameld dan noodzakelijk zal zijn voor het doel van de dataverwerking.
Stap 6: Functionaris voor de gegevensbescherming
Het kan voorkomen dat jouw organisatie een functionaris voor de gegevensbescherming (FG) dient aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Komt jouw organisatie hiervoor in aanmerking? Niet elke organisatie dient een FG aan te stellen. De volgende organisaties dienen dit wel te doen:
– Overheden en publieke organisaties
– Organisaties die op grote schaal individuen volgens
– Organisaties die op grote schaal bijzondere persoonsgegevens verwerken
Stap7 : Meldplicht datalekken
De meldplicht voor datalekken wijzigt zich grotendeels niet onder de AVG. Wel zijn er strengere eisen aan de registratie van de datalekken van jouw organisatie. Elk datalek die voorkomt dient te worden gedocumenteerd. Door deze documentatie kan de Autoriteit Persoonsgegevens controleren of er aan de meldplicht is voldaan. Voor deze meldplicht is er een guideline opgesteld. Deze is nog niet definitief, maar geeft wel een goed beeld hoe jouw organisatie hier aan kan voldoen.
Stap 8: Bewerkersovereenkomsten
Heeft jouw organisatie de gegevensverwerking uitbesteed aan een bewerker? Bekijk dan of de contracten toereikend zijn en of deze voldoen aan de nieuwe eisen die de AVG stelt aan “verwerkersovereenkomsten”. Op de volgende link staan deze eisen weergeven: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken
Stap 9: Leidende toezichthouder
Wanneer jouw organisatie meerdere filialen heeft in verschillende EU-lidstaten of wanneer de verwerking van persoonsgegevens in verschillende lidstaten impact heeft, dan dient er maar één toezichthouder te worden aangesteld. Dit heet de leidende toezichthouder.
Stap 10: Toestemming
Evalueer de manier van het verkrijgen van toestemming voor verwerking en registratie van persoonsgegevens. Er worden strengere eisen gesteld aan de toestemming die personen moeten geven. Als organisatie dient jouw organisatie zich ook te kunnen verantwoorden hoe deze toestemmingen verkregen zijn. Dit heeft dus ook betrekking op de verantwoordingsplicht.
Mocht je nog niet voorbereid zijn op deze nieuwe wetgeving, dan hopen wij dat je door deze stappenlijst de juiste voorbereidingen kunt treffen voordat deze wetgeving van kracht gaat. Mochten wij hierin verder kunnen ondersteunen of wil je meer informatie? Neem dan gerust contact met Convident op.
050 – 553 23 34
