Vanaf 25 mei 2018 vervangt de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp). Er zullen diverse veranderingen doorgevoerd moeten gaan worden. En zeer waarschijnlijk ook in uw onderneming, want vrijwel iedere onderneming maakt gebruik van en verwerkt persoonsgegevens.
Vanaf 25 mei 2018 vervangt de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp). Er zullen diverse veranderingen doorgevoerd moeten gaan worden. En zeer waarschijnlijk ook in uw onderneming, want vrijwel iedere onderneming maakt gebruik van en verwerkt persoonsgegevens.
De nieuwe wet
Wat is dan het verschil met de oude wet, de Wbp? De AVG versterkt en breidt privacyrechten van mensen verder uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk komt te liggen op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden. Er zal dus veel gedocumenteerd moeten worden. Ook zal er gebruik gemaakt moeten worden van protocollen om zo duidelijk mogelijk de gegevensstromen weer te kunnen geven. Om zo goed mogelijk aan de nieuwe regels te voldoen is het goed om het 10-stappenplan van de Autoriteit Persoonsgegevens (AP) te volgen.
Bewustwording
Alle personen die bij gegevensverwerking betrokken zijn, moeten op de hoogte zijn van de nieuwe privacyregels. Ook moeten zij de impact van de AVG is op de huidige processen kunnen inschatten. Tot slot moeten zij weten welke aanpassingen er nodig zijn om aan de AVG te voldoen.
Rechten van betrokkenen
Betrokkenen krijgen een meer en verbeterde privacyrechten. Denk aan het recht op inzage en het recht op correctie en verwijdering. Maar ook aan het nieuwe recht op dataportabiliteit. Mocht er niet goed invulling worden gegeven aan de rechten van betrokkenen, dan kan de betrokkene bij de AP een klacht indienen over de manier waarop de organisatie met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Overzicht verwerkingen
Zorg dat duidelijk is hoe de gegevensverwerkingen binnen de organisatie lopen. Documenteer welke persoonsgegevens verwerkt worden en met welk doel dat gebeurt, waar deze gegevens vandaan komen en met wie ze worden gedeeld. In de documentatie moet ook per categorie vermeld zijn op basis van welke wettelijke grondslag deze gegevens worden verwerkt.
Privacy Impact Assessment (PIA)
Sommige organisaties zijn verplicht om een PIA uit te voeren. Hiermee worden vooraf de privacyrisico’s van gegevensverwerking in kaart gebracht. Afhankelijk van de uitkomt worden vervolgens maatregelen genomen om de privacyrisico’s te verkleinen. Een organisatie moet een PIA uitvoeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.
Privacy by design & privacy by default
Onder de AVG gelden de verplichte uitgangspunten van privacy by design en privacy by default.
Privacy by design wil zeggen dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd.
Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat enkel en alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de organisatie wenst te bereiken.
Functionaris voor de gegevensbescherming (FG)
Een FG is eveneens nieuw onder de AVG en kan verplicht zijn voor uw organisatie. De FG wordt ook wel ‘privacy officer’ genoemd. Overheidsinstanties en zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verkrijgen of bewerken moeten in ieder geval een FG aanstellen. Een organisatie mag ook vrijwillig een FG aanstellen, dus ook als hiervoor geen verplichting volgens de AVG geldt.
Meldplicht datalekken
De meldplicht datalekken blijft ook onder de AVG bestaan. Vergeleken met de Wbp stelt de AVG wel strengere eisen de meldplicht en de beveiliging. Lees hier meer over in mijn andere blog: Meldplicht Datalekken.
Verwerkersovereenkomsten
Ook bij de AVG zijn er verwerkersovereenkomsten nodig tussen de verantwoordelijke en de verwerker (in de Wbp ‘bewerker’) als de gegevensverwerking is uitbesteed. Check of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, pas de bewerkersovereenkomsten dan tijdig aan.
Leidende toezichthouder
Omdat de AVG een Europese verordening is geldt de wet voor alle landen die hierbij zijn aangesloten. Wanneer een organisatie vestigingen heeft in meerdere EU-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten impact hebben, dan heeft de organisatie onder de AVG nog maar met één privacytoezichthouder te maken. Dit wordt de leidende toezichthouder genoemd. U hebt dus niet in ieder EU-land een andere autoriteit waaraan u verantwoording moet afleggen.
Toestemming
De gegevensverwerking in een organisatie is vaak gebaseerd op toestemming van de betrokkenen. De AVG stelt strengere eisen aan die toestemming. Uw organisatie moet kunnen aantonen dat zij geldige toestemming heeft gekregen om hun persoonsgegevens te verwerken. Overigens moet het net zo makkelijk zijn om de toestemming weer in te trekken, als dat het is om de toestemming te geven.
Boetes
Tot slot: boetes. Overtredingen van de AVG kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze boetes zijn aanzienlijk hoger dan de boetes uit de Wbp. Zorg dan ook dat alles op tijd en correct geregeld is, zodat de kans op een boete minimaal is.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan