Sinds 25 mei 2018 is de Algemene Verordening Gegevensverwerking (AVG) van toepassing.
Veel bedrijven zijn echter nog niet klaar voor de AVG. Er wordt gedreigd met hoge boetes als uw organisatie niet aan de wetgeving voldoet. Het belangrijkste nu is dat u aan kunt tonen dat u bezig bent om aan de AVG te voldoen. Als u een plan kunt laten zien, en u bent bezig dit plan ten uitvoer te brengen, dan hoeft u nog niet bang te zijn dat u een boete krijgt.

Een plan, dat is dus nu het belangrijkste! Als ESWD kunnen we u hierbij helpen. Dit artikel beschrijft een 10 stappenplan dat u kunt gebruiken om u voor te bereiden op de AVG.

Wat is er veranderD?

In Nederland kenden we natuurlijk de Wet Bescherming Persoonsgegevens (Wbp). Deze is echter per 25 mei 2018 komen te vervallen en vervangen door de AVG. Met de AVG wordt de positie van betrokkenen (personen waarvan u persoonlijke gegevens verwerkt) versterkt, ze hebben nieuwe rechten gekregen. Organisaties die deze persoonlijke gegevens verwerken moeten zich nu aan strengere regels houden. Documentatie en transparantie zijn sleutelwoorden. U moet aan de Autoriteit Persoonsgegevens, de nationale toezichthouder, kunnen aantonen dat u voldoet aan de AVG.

10 stappen richting de AVG

De volgende 10 stappen, welke ook terug te vinden zijn op de website van de Autoriteit Persoonsgegevens, kunnen u helpen om aan de AVG te gaan voldoen:

1. Bewustwording.

Dit is een essentiele stap in het gehele proces. Uw gehele organisatie moet zich bewust zijn van het belang van privacy. Als uw collega's zich allemaal bewust zijn van het belang en de noodzaak van het waarborgen van de privacy van betrokkenen, dan wordt het aanpassen van de organisatie, het aanpassen van processen en systemen makkelijker. Het zal niet allemaal eenvoudig zijn, maar iedereen weet waarom dit belangrijk is. Lees hier meer over deze bewustwording.

2. De rechten van betrokkenen.

Binnen de AVG hebben betrokkenen meer rechten gekregen. Het is belangrijk om u hier goed op voor te bereiden, vanwege de manier waarop u geacht wordt te antwoorden. Belangrijke rechten van betrokkenen zijn:

• het recht op inzicht (welke persoonlijk gegevens heeft u binnen uw organisatie opgeslagen van een betrokkene?)
• het recht op modificatie (een betrokkene mag u vragen zijn/haar persoonlijke gegevens te corrigeren)
• het recht om vergeten te worden (een betrokkene mag het verzoek doen om zijn/haar gegevens uit uw systemen te verwijderen)
• het recht op dataportabiliteit (een betrokkene mag het verzoek doen zijn/haar persoonlijke gegevens in een makkelijk te lezen en verwerken formaat over te dragen)

Op alle hierboven genoemde verzoeken dient u binnen 1 maand te reageren. U mag hiervoor geen kosten in rekening brengen.

3. Register van Verwerkingen. 

De AVG draagt u op om alle verwerkingen van persoonlijke gegevens te documenteren. U dient vast te leggen welke gegevens u opslaat, met welk doel en wat de grondslag is waarom u deze gegevens mag opslaan. Dit is één van de aspecten waarmee u aantoont aan de AVG te voldoen. Ook dient u vast te leggen aan wie u persoonsgegevens levert en voor wie u persoonsgegevens verwerkt.

4. Uitvoeren van PIA's 

Op basis van de AVG kan het noodzakelijk zijn om een Privacy Impact Assesment (PIA) uit te voeren. Hiermee bepaalt u of er risico's zijn aan uw gegevensverwerking(en). Indien één of meerdere van uw verwerkingen aan de volgende criteria voldoen, dient u voor deze verwerking(en) een PIA uit te voeren:

• U verwerkt op grootschalige wijze bijzondere persoonsgegevens
• U maakt gebruik van profiling
• U monitort openbare ruimten

5. Privacy by Design & Privacy by Default

Privacy by Design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. Ook mag u gegevens niet langer bewaren dan noodzakelijk.

Privacy by Default houdt in dat u technische en organisatorische maatregelen neemt om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is.
• op uw website het vakje 'Ja, ik wil aanbiedingen ontvangen' niet standaard aan te vinken.
• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

6. Functionaris Gegevensbescherming

Onder de AVG kan uw organisatie verplicht zijn om een Functionaris Gegevensbescherming (FG) aan te stellen. Bepaal zo snel mogelijk of dit voor uw organisatie geldt. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

7. Meldplicht Datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw registratie van datalekken die zich in uw organisatie hebben voorgedaan. U dient alle datalekken te documenteren. Aan hand van deze documentatie kan de Autoriteit Persoonsgegevens controleren of u aan de meldplicht heeft voldaan. 

8. Bewerkersovereenkomsten

Heeft u uw gegevensverwerking uitbesteedt aan een verwerker, beoordeel dan of de met deze verwerker overeengekomen maatregelen in bestaande contracten nog wel steeds toereikend zijn in het kader van de AVG. Beoordeel ook of deze overeenkomsten nog wel voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Is dit niet het geval, onderneem dan zo snel mogelijk actie door de noodzakelijke wijzigingen door te voeren.

9. Leidende toezichthouder

Als uw organisatie vestigingen heeft in meerdere EU-landen, of uw verwerkingen hebben impact in meerdere EU-landen, dan hoeft u onder de AVG nog slechts zaken te doen met 1 toezichhouder. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke toezichthouder u valt.

10. Toestemming

Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registeert. Nieuw in de AVG is dat u moet kunnen aantonen dat u toestemming verkregen heeft. Ook moet het voor betrokkenen net zo makkelijk zijn om toestemming in te trekken als om toestemming te geven. 

Mocht u meer willen weten, of ondersteuning kunnen gebruiken om uw organisatie aan de AVG te laten voldoen, neem dan vrijblijvend contact met ons op.