In tien stappen voorbereid op de Algemene Verordening Gegevensverwerking (AVG)

De Algemene Verordening Gegevensbescherming (AVG), in het Engels bekend als de General Data Protection Regulation (GDPR), vervangt per 25 mei 2018 de huidige privacywetgeving. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet Bescherming Persoonsgegevens geldt dan niet meer.De AVG versterkt de positie van de betrokkenen (de mensen van we gegevens worden verwerkt). Zij krijgen naast de reeds bestaande rechten nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties de persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk komt meer te liggen op de verantwoordelijkheid van organisaties, die moeten kunnen aantonen dat ze zich aan de AVG houden. houden.

Het is voor u als organisatie stappen tijdig stappen onderneemt om straks te kunnen voldoen aan de eisen van de AVG. De Autoriteit Persoonsgegevens (AP) heeft de tien belangrijkste stappen op een rij gezet. Zo voorkomt u dat u er straks boetes worden opgelegd. Met de introductie van de AVG kan de Autoriteit Persoonsgegevens boetes opleggen van 20 miljoen euro of 4% van de wereldwijde omzet van een organisatie.

Stap 1: Bewustwording

Zorg ervoor dat de relevante personen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels, zodanig dat ze kunnen beoordelen wat de AVG betekent voor de processen, diensten en goederen en wat er nodig is om aan de eisen van de AVG te voldoen. De implementatie van de AVG kan veel tijd , personele inzet en financiële vragen. Begin daarom op tijd met de implementatie van de AVG.

Stap 2: Rechten van betrokkenen

De AVG regelt dat mensen van wie persoonsgegevens worden verwerkt meer verbeterde privacyrechten krijgen. Naast de bestaande rechten (zoals recht van inzage, het recht op correctie en verwijdering) ontstaan er ook nieuwe rechten, zoals het recht op dataportabiliteit (wat inhoudt dat personen hun gegevens makkelijk kunnen krijgen en kunnen overdragen aan andere organisaties).

De AVG biedt ook de mogelijkheid om klachten in te dienen bij de Autoriteit Persoonsgegevens over de wijze waarop er met hun persoonsgegevens wordt omgegaan.

Stap 3: Overzicht verwerkingen

Breng uw gegevensverwerkingen in beeld en documenteer welke persoonsgegevens worden verwerkt, met welk doel u dat doet, waar deze persoonsgegevens vandaan komen en met wie ze worden gedeeld. De AVG regelt een verantwoordingsplicht. Dit betekent dat een organisatie moet kunnen aantonen dat de organisatie handelt en voldoet aan de eisen van de AVG.

In het overzicht dient per categorie van gegevens vermeld te worden op welke wettelijke grondslag de verwerking berust of op welk gerechtvaardigd belang de gegevensverwerking is gebaseerd of u voor de gegevensverwerking toestemming van de betrokkene heeft gevraagd.

De grondslagen voor verwerking van persoonsgegevens van de AVG is grotendeels hetzelfde als de Wet Bescherming Persoonsgegevens.

Stap 4: Data Protection Impact Assessment (DPIA)

Een organisatie kan onder de AVG verplicht zijn tot het uitvoeren van de zogenaamde Data Protection Assessment (DPIA). Dit instrument is bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in beeld te brengen, met als doel maatregelen ten nemen om de risico’s te reduceren. Het is verplicht om een Data Protection Assessment uit te voeren als uw organisatie met de beoogde verwerking van persoonsgegevens een hoog privacyrisico heeft.

Als uit het zogenaamde DPIA blijkt dat de beoogde verwerking hoge privacyrisico’s met zich meebrengt kunt u met de Autoriteit Persoonsgegevens overleggen welke maatregelen u moet nemen om deze risico’s te beperken. Dit is de zogenaamde voorafgaande raadpleging. De Autoriteit Persoonsgegevens beoordeelt of de voorgenomen verwerking strijdig is met de AVG en indien dat het geval is ontvangt u een schriftelijk advies.

Stap 5: Privacy by design en Privacy by default

Privacy by design betekent dat u bij het ontwerpen van producten en diensten ervoor zorgt dat de persoonsgegevens goed worden beschermd. Privacy by default betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel van uw organisatie.

Stap 6: Functionaris voor de gegevensverwerking (FG)

Bepaalde organisaties zijn onder de AVG verplicht een functionaris voor de gegevensverwerking (FG) aan te stellen. Het is van belang te bepalen of uw organisatie zo’n functionaris moet aanstellen.

Stap 7: Meldplicht datalekken

Onder de AVG wijzigt de meldplicht Datalekken grotendeels niet, behalve dat er wel strengere eisen gaan gelden. Door de AVG bent u verplicht alle datalekken die zich voordoen te documenteren. Deze documentatie maakt het mogelijk dat de Autoriteit Persoonsgegevens kan controleren of u aan de verplichte meldplicht heeft voldaan, hetgeen verder gaat dan de huidige Wet Bescherming Persoonsgegevens.

Stap 8: Bewerkersovereenkomsten

Als uw organisatie gegevensverwerking uitbesteed aan een bewerker (de AVG noemt ‘verwerker’) moet u beoordelen of de overeengekomen maatregelen in de contracten met uw bewerkers voldoen aan de eisen van de AVG. In het geval de contracten niet meer voldoen, zult u tijdig de noodzakelijke wijzigingen daarin moeten aanbrengen.

Stap 9: Leidend toezichthouder

Als uw organisatie meerdere vestigingen heeft in meerdere EU-lidstaten of hebben uw gegevensverwerkingen in meerdere lidstaten impact, dan hoeft u onder de AVG maar met één privacytoezichthouder te doen. Dit wordt in de AVG aangeduid met de leidend toezichthouder.

Stap 10: Toestemming

Voor sommige verwerkingen van persoonsgegevens is toestemming van de betrokkene nodig. Hieraan worden in de AVG strengere eisen gesteld. Het is belangrijk te beoordelen waarop u toestemming vraagt, krijgt en registreert. In de AVG is een geldige toestemming van betrokkenen nodig en voor de betrokkenen moet het eenvoudig zijn de toestemming in te trekken (net zo eenvoudig als deze toestemming te geven.

Bron: www.autoriteitpersoonsgegevens.nl