Sinds 25 mei 2018 is de Algemene Verordening Gegevensverwerking (AVG) van toepassing.
Veel bedrijven zijn echter nog niet klaar voor de AVG. Er wordt gedreigd met hoge boetes als uw organisatie niet aan de wetgeving voldoet. Het belangrijkste nu is dat u aan kunt tonen dat u bezig bent om aan de AVG te voldoen. Als u een plan kunt laten zien, en u bent bezig dit plan ten uitvoer te brengen, dan hoeft u nog niet bang te zijn dat u een boete krijgt.
Een plan, dat is dus nu het belangrijkste! Als ESWD kunnen we u hierbij helpen. Dit artikel beschrijft een 10 stappenplan dat u kunt gebruiken om u voor te bereiden op de AVG.
Wat is er veranderD?
In Nederland kenden we natuurlijk de Wet Bescherming Persoonsgegevens (Wbp). Deze is echter per 25 mei 2018 komen te vervallen en vervangen door de AVG. Met de AVG wordt de positie van betrokkenen (personen waarvan u persoonlijke gegevens verwerkt) versterkt, ze hebben nieuwe rechten gekregen. Organisaties die deze persoonlijke gegevens verwerken moeten zich nu aan strengere regels houden. Documentatie en transparantie zijn sleutelwoorden. U moet aan de Autoriteit Persoonsgegevens, de nationale toezichthouder, kunnen aantonen dat u voldoet aan de AVG.
10 stappen richting de AVG
De volgende 10 stappen, welke ook terug te vinden zijn op de website van de Autoriteit Persoonsgegevens, kunnen u helpen om aan de AVG te gaan voldoen:
1. Bewustwording.
Dit is een essentiele stap in het gehele proces. Uw gehele organisatie moet zich bewust zijn van het belang van privacy. Als uw collega's zich allemaal bewust zijn van het belang en de noodzaak van het waarborgen van de privacy van betrokkenen, dan wordt het aanpassen van de organisatie, het aanpassen van processen en systemen makkelijker. Het zal niet allemaal eenvoudig zijn, maar iedereen weet waarom dit belangrijk is. Lees hier meer over deze bewustwording.
2. De rechten van betrokkenen.
Binnen de AVG hebben betrokkenen meer rechten gekregen. Het is belangrijk om u hier goed op voor te bereiden, vanwege de manier waarop u geacht wordt te antwoorden. Belangrijke rechten van betrokkenen zijn:
- het recht op inzicht (welke persoonlijk gegevens heeft u binnen uw organisatie opgeslagen van een betrokkene?)
- het recht op modificatie (een betrokkene mag u vragen zijn/haar persoonlijke gegevens te corrigeren)
- het recht om vergeten te worden (een betrokkene mag het verzoek doen om zijn/haar gegevens uit uw systemen te verwijderen)
- het recht op dataportabiliteit (een betrokkene mag het verzoek doen zijn/haar persoonlijke gegevens in een makkelijk te lezen en verwerken formaat over te dragen)
Op alle hierboven genoemde verzoeken dient u binnen 1 maand te reageren. U mag hiervoor geen kosten in rekening brengen.
3. Register van Verwerkingen.
De AVG draagt u op om alle verwerkingen van persoonlijke gegevens te documenteren. U dient vast te leggen welke gegevens u opslaat, met welk doel en wat de grondslag is waarom u deze gegevens mag opslaan. Dit is één van de aspecten waarmee u aantoont aan de AVG te voldoen. Ook dient u vast te leggen aan wie u persoonsgegevens levert en voor wie u persoonsgegevens verwerkt.
4. Uitvoeren van PIA's
Op basis van de AVG kan het noodzakelijk zijn om een Privacy Impact Assesment (PIA) uit te voeren. Hiermee bepaalt u of er risico's zijn aan uw gegevensverwerking(en). Indien één of meerdere van uw verwerkingen aan de volgende criteria voldoen, dient u voor deze verwerking(en) een PIA uit te voeren:
- U verwerkt op grootschalige wijze bijzondere persoonsgegevens
- U maakt gebruik van profiling
- U monitort openbare ruimten
5. Privacy by Design & Privacy by Default
Privacy by Design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. Ook mag u gegevens niet langer bewaren dan noodzakelijk.
Privacy by Default houdt in dat u technische en organisatorische maatregelen neemt om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:
- een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is.
- op uw website het vakje 'Ja, ik wil aanbiedingen ontvangen' niet standaard aan te vinken.
- als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
6. Functionaris Gegevensbescherming
Onder de AVG kan uw organisatie verplicht zijn om een Functionaris Gegevensbescherming (FG) aan te stellen. Bepaal zo snel mogelijk of dit voor uw organisatie geldt. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
7. Meldplicht Datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw registratie van datalekken die zich in uw organisatie hebben voorgedaan. U dient alle datalekken te documenteren. Aan hand van deze documentatie kan de Autoriteit Persoonsgegevens controleren of u aan de meldplicht heeft voldaan.
8. Bewerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteedt aan een verwerker, beoordeel dan of de met deze verwerker overeengekomen maatregelen in bestaande contracten nog wel steeds toereikend zijn in het kader van de AVG. Beoordeel ook of deze overeenkomsten nog wel voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Is dit niet het geval, onderneem dan zo snel mogelijk actie door de noodzakelijke wijzigingen door te voeren.
9. Leidende toezichthouder
Als uw organisatie vestigingen heeft in meerdere EU-landen, of uw verwerkingen hebben impact in meerdere EU-landen, dan hoeft u onder de AVG nog slechts zaken te doen met 1 toezichhouder. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke toezichthouder u valt.
10. Toestemming
Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registeert. Nieuw in de AVG is dat u moet kunnen aantonen dat u toestemming verkregen heeft. Ook moet het voor betrokkenen net zo makkelijk zijn om toestemming in te trekken als om toestemming te geven.
Mocht u meer willen weten, of ondersteuning kunnen gebruiken om uw organisatie aan de AVG te laten voldoen, neem dan vrijblijvend contact met ons op.
De Algemene Verordening Gegevensverwerking (AVG) zorgt er voor dat het steeds belangrijker wordt om het beheer van persoonsgegevens en de bijbehorende bescherming goed op orde te hebben.
Veel kan worden afgevangen of ondersteund door software. Daarnaast zijn er regels en procedures die moeten worden nageleefd. Deze regels en procedures moeten wel gedragen worden door alle medewerkers van uw organisatie. De keten van beveiliging en bescherming is zo sterk als de zwakste schakel. En meestal is de mens de zwakste schakel. Daarom is het van essentieel belang dat alle medewerkers het belang van gegevensbescherming zien. Het zien en onderschrijven van dit belang zal er voor zorgen dat de medewerkers de (vernieuwde) regels en procedures ook gaan naleven.
Een bewustwordingsprogramma kan hierbij goede ondersteuning beiden. Zo'n programma helpt de organisatie en haar medewerkers om zich te ontwikkelen op het vlak van gegevensbescherming. Een eerste stap hierin is het op de hoogte brengen van iedereen over de nieuwe privacyregels. Dit maakt het uw medewerkers makkelijker om in te schatten wat de impact van de AVG is op uw huidige processen, diensten en goederen. Zo kan bepaald worden welke aanpassingen nodig zijn om aan de AVG te voldoen.
Nadat het bewustwordingsprogramma is uitgevoerd, zal ook regelmating moeten worden gecontroleerd of alle regels en procedures nog helder zijn. Wellicht moeten deze, naar aanleiding van nieuwe ontwikkelingen, worden aangepast.
ESWD Everything Starts with Data kan uw organisatie ondersteunen bij het opzetten en/of uitvoeren van één of meerdere bewustwordingssessies. Heeft u vragen over hoe zo'n bewustwordingsprogramma op te zetten, neem dan contact met ons op.
Sinds 25 mei 2018 moet elke organisatie voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Om te bepalen welke gevolgen dit heeft voor uw organisatie, is het uitvoeren van een nulmeting een belangrijke eerste stap.
Deze nulmeting heeft als doelstelling om u snel inzicht te geven waar u staat als organisatie met betrekking tot het implementeren van de AVG. U krijgt inzicht in welke gebieden aandacht nodig hebben binnen uw organisatie. Via analyse, vragenlijsten en interviews wordt vastgesteld hoe persoonsgegevens op dit moment worden verwerkt en beheerd.
De nulmeting zal antwoorden geven op vragen zoals:
- Welke persoonsgegevens worden nu vastgelegd?
- Mogen deze gegevens worden opgeslag?
- Heb ik deze gegevens ook daadwerkelijk nodig?
- Wat is de grondslag op basis waarvan deze gegevens worden opgeslagen?
- Is het nodig om een Functionaris Gegevensbescherming aan te stellen?
- Wat zijn de belangrijke gegevensverwerkingen binnen uw organisatie?
- Welke verwerkingen leveren mogelijkerwijs een (hoog) risico op?
- Welke procedures zijn reeds aanwezig/ingericht en welke procedures moeten nog ingericht worden?
- Zijn de rechten van de betrokkenen gewaarborgd (zoals recht van inzicht, wijziging en verwijderen)
De uitkomsten van de nulmeting vormen de basis voor een plan van aanpak om de AVG te implementeren, om de privacy van uw klanten c.q. de betrokkenen te waarborgen. ESWD kan u vervolgens ondersteunen bij het uitwerken en uitvoeren van dit plan van aanpak.
Mocht u meer willen weten over het uitvoeren van een nulmeting, neem dan vrijblijvend contact met ons op.
Met de introductie van de Algemene Verordening van Gegevensverwerking (AVG) hoeft u gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens. In plaats hiervan heeft u als organisatie de verantwoordingsplicht om met documenten te kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Een van de verplichtingen is het aanleggen van een Register van Verwerkingen. Dit register bevat informatie over de persoonsgegevens die u verwerkt. U mag als organisatie zelf bepalen hoe u zo'n register opstelt. Wel schrijft de AVG voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.
Zo'n Register van Verwerkingen dient voor de verantwoordelijke o.a. de volgende zaken te bevatten:
- naam en contactgegevens van de organisatie, de naam van de Functionaris Gegevensbescherming en organisaties waarmee u persoonsgegevens deelt
- de doelen waarvoor u de persoonsgegevens verwerkt
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt
- een beschrijving van de categorieën persoonsgegevens die u opslaat
- hoe lang u gegevens bewaart
- deelt u gegevens met organisaties buiten de EU? dan moet u dit in het register aangeven
- een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens te beveiligen.
ESWD Everything Starts with Data kan u ondersteunen bij het opstellen van een Register van Verwerkingen. Mocht u hier meer over willen weten, neem dan contact met ons op.
"Een historisch moment". Dat zei Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), op 25 mei over de invoering van de Algemene verordening gegevensbescherming (AVG). “We hebben nu in de hele EU dezelfde privacyregels. De privacywetgeving is aangepast aan deze tijd en geeft mensen meer zeggenschap over hun persoonsgegevens. Hiermee is ieders grondrecht op bescherming van je persoonsgegevens beter verankerd.”
Dat klinkt allemaal mooi, maar voor veel professionals is de komst van de AVG niet eenvoudig, het is niet alleen een feestje van de privacy. Het implementeren van de nieuwe wet levert hoofdbrekens op, bijv. over hoe de wet te interpreteren en implementeren. Veel is nog onduidelijk.
Het gevaar hierbij is echter dat we het implementeren van de AVG als een zware last en als een "moetje" gaan zien. We hebben er geen behoefte aan, het levert ons niets op, maar het moet nu eenmaal want anders hangt ons wellicht een hoge boete boven het hoofd... Een te begrijpen standpunt, er komt veel op ons af, maar het implementeren van de AVG heeft zeker ook voordelen! Denk hierbij bijvoorbeeld aan het volgende:
- Het inrichten van een verwerkingenregister zal er voor zorgen dat er meer inzicht ontstaat in de interne en externe processen van de organisatie. Het wordt duidelijk hoe de processen werken en welke data er gebruikt wordt. Veel wisten we waarschijnlijk wel, maar vaak blijkt dat er meer processen zijn en dat ze toch net iets anders werken dan gedacht. Ook ontbreekt in veel organisaties goede documentatie over deze processen. Het inrichten van het verwerkingenregister geeft duidelijkheid en resulteert in (betere) documentatie.
- Doordat we nu een goed beeld hebben van de processen en de data die gebruikt wordt, biedt dit de mogelijkheid om de processen en systemen te optimaliseren en zo de organisatie beter te stroomlijnen.
- De wereld wordt steeds digitaler, alles draait om data. Vertrouwen van consumenten, dat een organisatie goed met persoonsgegevens omgaat, is hierbij cruciaal. Als een consument een organisatie niet kan vertrouwen qua bescherming van persoonsgegevens, waarom zou deze cosument de organisatie dan wel zijn/haar geld toevertrouwen... Door transparant te zijn (via bijv. de privacyverklaring) en te laten zien dat de organisatie de rechten van betrokkenen respecteert (door bijv. een snelle en correcte afhandeling van een verzoek tot inzage of wijziging), win je als organisatie het vertrouwen van de consument. Dit zal zorgen voor hogere klanttevredenheid, een hogere omzet en hogere klantretentie.
- Mogelijkerwijs is het goed implementeren van de AVG, het kunnen aantonen dat je als organisatie de rechten van betrokkenen respecteert, een voordeel ten opzichte van concurrenten en kunt u zich hiermee positief onderscheiden.
Kortom, laten we het implementeren van de AVG niet zien als bedreiging maar als een kans en uitdaging met mooie voordelen voor de organisatie! Het werk moet nog wel steeds gedaan worden, dat verandert niet, maar met de voordelen op het vizier wordt het wel makkelijker om enthousiast te worden en aan de slag te gaan.
Mocht u meer willen weten over de mogelijke voordelen voor uw organisatie, neem dan vrijblijven contact met ons op.