Algemene verordening gegevensbescherming (AVG)
Per 25 mei 2018 is de GDPR, in Nederland ook bekend als de Algemene Verordening Gegevensbescherming (AVG), van toepassing. Over minder dan een jaar geldt dus dezelfde privacywetgeving in de hele Europese Unie. Deze wetgeving heeft als doel de privacy van mensen beter te beschermen. Hierdoor krijgen organisaties die persoonsgegevens verwerken veel meer verplichtingen. Zo moeten zij bijvoorbeeld eerst toestemming vragen aan mensen om hun persoonsgegevens te mogen verwerken en krijgen mensen het recht om organisaties te vragen hun persoonsgegevens te verwijderen.
Voor organisaties die persoonsgegevens verwerken (lees: bijna ieder kantoor) kan dat behoorlijk wat extra werk betekenen. Waar voorheen alle beschikbare persoonlijke informatie werd vastgelegd om het alvast maar te hebben voor wanneer het nodig is, moet er nu veel zorgvuldiger worden gewerkt om die data te verkrijgen en te verwerken. Er ontstaat een nieuwe realiteit waarin de privacy van de mens belangrijker wordt dan het belang van het bedrijf dat werkt met die persoonsgegevens.
Voldoet uw bedrijf niet aan deze regelgeving, dan kan het een boete krijgen die kan oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. Maar hoe voorkom je dat en hoe kun je je als bedrijf goed voorbereiden?
De Autoriteit Persoonsgegevens (AP) heeft tien aandachtspunten benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving.
1. Bewustwording
Zorg ervoor dat werkgevers en werknemers bekend worden met de nieuwe privacyregels, zodat zij weten wat er van hen wordt verwacht.
2. Rechten van betrokkenen
Houd alvast rekening met de extra privacy rechten die mensen krijgen door de nieuwe wetgeving, zodat u klaar bent wanneer men zich hierop beroept.
3. Overzicht verwerkingen
Maak inzichtelijk hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang hebben tot die gegevens.
4. Privacy impact assessment (PIA)
Maak een PIA, want volgens de AVG zijn bedrijven verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.
5. Privacy by design en privacy by default
Houd bij het ontwerpen van (nieuwe) producten en diensten rekening met de bescherming van privacygevoelige informatie. Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel.
6. Functionaris voor de gegevensbescherming
Stel een functionaris aan die zich specifiek richt op de verwerking van (persoons)gegevens. De AVG kan organisaties verplichten om zo’n functionaris aan te stellen. Het is voor organisaties raadzaam om nu al te inventariseren of dat wenselijk is en om dan alvast te starten met een wervingsprocedure.
7. Meldplicht datalekken
Herijk uw procedures voor het documenteren en melden van datalekken. Want in de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat de Autoriteit Persoonsgegevens dit kan controleren.
8. Bewerkersovereenkomsten
Zorg ervoor dat u een bewerkingsovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Heeft u al bewerkingsovereenkomsten dan is het verstandig om deze te controleren of ze nog voldoen aan de vereisten van de AVG.
9. Leidende toezichthouder
Bepaal uw leidende privacy toezichthouder. Als uw organisatie in meerdere EU-landen actief is, dan hoeft u maar met één privacy toezichthouder zaken te doen: de leidende toezichthouder.
10. Toestemming
Evalueer de manier waarop u mensen toestemming vraagt voor het verwerken van hun persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. Want u moet later kunnen aantonen er geldige toestemming van mensen is gekregen.
Al deze aandachtspunten zijn nodig om goed voorbereid te zijn voor mei 2018. Er is dus veel werk aan de winkel om eerst alle data te classificeren en om daarna compliant te worden. Het grote voordeel daarvan is echter dat het een kans is om een soort van grote voorjaarsschoonmaak te houden, waarbij alle data en processen een grondige opfrisbeurt krijgen en toekomstklaar worden gemaakt.
Bron: Unit4