Algemene Verordening Gegevensbescherming veranderingen; voorbereiding in 10 stappen

[vc_row][vc_column][vc_column_text]

Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van toepassing zijn in de gehele EU. Dat betekent dat vanaf die datum in alle EU-lidstaten dezelfde privacy wetgeving van kracht is. In Nederland zal de AVG de Wet Bescherming Persoonsgegevens vervangen. De Algemene Verordening Gegevensbescherming veranderingen zijn belangrijk op het gebied van privacy. Het is dus van belang hier goed op voorbereid te zijn, mede gezien de hoge boetes die uitgedeeld kunnen worden bij overtreding van de AVG. Hier volgt een 10 stappenplan hoe u zich moet voorbereiden op de AVG.

Stap 1 – Bewustwording

Wellicht is bewustwording een van de moeilijkste opdrachten voor uw organisatie. Uw gehele organisatie moet zich bewust worden van persoonsgegevens, het gebruik daarvan en de mogelijk impact van het gebruik van persoongegevens. Veel organisatie zijn zich onvoldoende bewust van de persoonsgegevens die verwerkt worden en welke regels daarvoor gelden. Het is dan ook aan te raden om tijdig te starten met de voorbereidingen op de Algemene Verordening Gegevensbescherming veranderingen, waarbij bewustwording een cruciale eerste stap is.

Het is belangrijk om te weten dat de AVG zorgt voor een breder begrip persoonsgegevens dan de huidige Wbp heeft. Zo zijn alle gegevens persoonsgegevens waarbij, al dan niet in combinatie, direct of indirect de identiteit kan worden geïdentificeerd of achterhaald. Voorbeeld hiervan zijn ip-adressen, cookies en locatiegegevens aan de hand waarvan iemands identiteit kan worden achterhaald. Identiteit slaat in dit geval op fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.

Stap 2 – Maak een overzicht van verwerking van persoonsgegevens

Het inzichtelijk maken van de verwerking van persoonsgegevens is de eerste concrete stap die u moet uitvoeren. Een globale opzet bevat in ieder geval deze gegevens:

  1. Welke persoonsgegevens worden verwerkt?
  2. Met welk doel worden deze persoonsgegevens verwerkt?
  3. Met wie worden deze persoonsgegevens gedeeld en waarom is dat delen noodzakelijk?
  4. Wie heeft inzage in de persoonsgegevens?
  5. Hoe is de toegang tot de persoonsgegevens georganiseerd?
  6. Heeft u toestemming voor het verwerken van de persoonsgegevens van de betrokkene?

Aan de hand van deze opzet kunt u al snel een inventarisatie maken welke concrete stappen u verder moet ondernemen om aan de eisen van de AVG te voldoen.

Stap 3 – Rechten van betrokkenen

Onder de Algemene Verordening Gegevensbescherming veranderingen worden de rechten van betrokkenen verder uitgebreid. Ga dus na of de betrokkenen deze rechten ook daadwerkelijk kunnen inroepen en of u daar aan kunt voldoen. Bent u (technisch) niet in staat om het uitoefenen van deze rechten mogelijk te maken, dan handelt u in strijd met de privacywetgeving. De volgende rechten moet de betrokkene kunnen inroepen:

  • recht op inzage
  • recht op correctie en verwijdering
  • recht op dataportabiliteit (nieuw)

Het recht op dataportabiliteit houdt in dat een betrokkene het recht heeft om zijn persoonsgegevens in een standaard formaat te ontvangen, zodat deze bij een andere dienstverlener kan worden aangeleverd.

Stap 4 – Privacy impact assessment (PIA)

De AVG verplicht in sommige gevallen het uitvoeren van een PIA. Een PIA is een instrument om voorafgaand aan de verwerking van persoonsgegevens de risico’s van de verwerking in kaart te brengen, zodat maatregelen genomen kunnen worden om deze risico’s te beperken. Een verplichting tot het uitvoeren van een PIA bestaat in het geval van verwerking van persoonsgegevens met een hoog risico. Daarvan is sprake als:

  • systematisch en uitvoerig evalueren van persoonlijke aspecten waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerken;
  • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Voldoet de verwerking aan één van deze eisen, dan is het uitvoeren van een PIA verplicht. Kunt u geen maatregelen meer nemen om de risico’s te beperken omdat de verwerking al is gestart, dan bent u verplicht de verwerking aan de Autoriteit Persoonsgegevens te melden, die zal beoordelen of de verwerking is toegestaan.

Stap 5 – Privacy by design & privacy by default

De begrippen Privacy by design & privacy by default zijn in de AVG belangrijke uitgangspunten bij de dataverwerking. Privacy by design houdt in dat al bij het ontwerp van nieuwe producten wordt nagedacht over de verwerking van persoonsgegevens, onder andere hoe deze worden beschermd, opgeslagen en/of worden gedeeld. Door hierover vooraf na te denken, wordt de kans op datalekken of onrechtmatige verwerking aanzienlijk verkleind.
Privacy by default houdt in dat er technische maatregelen genomen worden die ervoor zorgen dat niet meer dan de noodzakelijke persoonsgegevens worden verwerkt en dat daarvoor op de juiste wijze toestemming wordt gevraagd.

Stap 6 – Functionaris voor de gegevensbescherming

Sommige organisaties zijn verplicht om een functionaris gegevensbescherming aan te stellen. Deze verplichting geldt voor overheidsorganisaties en organisaties als kerntaak hebben het op grote schaal volgen of observeren van personen. Voor de beoordeling hiervan zijn door de Europese toezichthouder ‘guidelines’ opgesteld, die te vinden zijn op website van de AP: http://www.autoriteitpersoonsgegevens.nl.

Stap 7 – Meldplicht datalekken

De huidige regelgeving voor datalekken blijft onder de Algemene Verordening Gegevensbescherming veranderingen grotendeels hetzelfde. Er worden wel strengere eisen gesteld, die het documenteren van datalekken verplicht stelt, ook als deze datalekken niet hoeven worden gemeld bij de AP. Aan de hand van deze documentatie moet de AP kunnen controleren of u zich aan de meldplicht heeft voldaan.

Lees hier meer over de meldplicht datalekken.

Stap 8 – Bewerkersovereenkomsten

Heeft u de verwerking van persoonsgegevens uitbesteed? Dan bent u verplicht een afzonderlijke bewerkersovereenkomst te sluiten. Controleer of deze overeenkomst aan de wettelijke eisen voldoet en pas deze zonodig aan.

Lees hier meer over de bewerkersovereenkomst.

Stap 9 – Leidende toezichthouder

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

Stap 10 – Toestemming

Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. U moet het verkrijgen van deze toestemming (later) kunnen aantonen en de betrokkene moet deze toestemming kunnen intrekken. Dit kan mogelijk technische maatregelen met zich mee brengen voor uw organisatie.

Hulp nodig bij de Algemene Verordening Gegevensbescherming veranderingen? De advocaten van Heijink & Meure zijn expert in privacy recht. Neem contact met ons op![/vc_column_text][/vc_column][/vc_row]