General Data Protection Regulation / AVG
General Data Protection Regulation: De nieuwe wet “Algemene Verordening Gegevensbescherming”
10 stappen als voorbereiding op de nieuwe General Data Protection Regulation
Bent u voorbereid op de nieuwe general data protection regulation (GDPR) wet? Het lijkt nog ver weg 2018, maar als ondernemer kun je er maar beter goed op voorbereid zijn.
Vanaf 25 mei 2018 moeten organisaties voldoen aan de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Deze wet gaat gelden voor de gehele Europese Unie en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wetgeving vraagt van veel ondernemers de nodige voorbereidingen. De Autoriteit Persoonsgegevens (AP) heeft daarom een stappenplan gemaakt waarmee organisaties zich kunnen voorbereiden op de invoering hiervan.
De AVG versterkt en breidt privacyrechten van mensen uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk komt – meer dan nu het geval is – op de verantwoordelijkheid van organisaties te liggen: zij moeten aan kunnen tonen dat zij zich aan de wet houden.
Het stappenplan AVG
De nieuwe wetgeving general data protection regulation vraagt van veel ondernemers de nodige voorbereidingen. Wilt u inzicht in uw huidige IT security en leren waar uw kwetsbaarheden en verbeterpunten liggen?De Autoriteit Persoonsgegevens (AP) heeft daarom een stappenplan gemaakt waarmee organisaties zich kunnen voorbereiden op de invoering hiervan:
Stap 1 – Bewustwording
Bewustwording
Zorg voor bewustwording binnen de organisatie. Het is immers belangrijk om te weten wat de nieuwe regels inhouden. Breng ook in kaart wat deze regels voor je medewerkers en middelen betekenen. Informeer je medewerkers, organiseer awareness sessies. Uw medewerkers maken met de juiste kennis minder fouten. Blijf alert en zorg voor de juiste procedures, deze duidelijkheid binnen uw organisatie zal zeker vruchten afwerpen. Voorkomen is goedkoper dan genezen.
Stap 2 – Kennis van rechten
Ken de rechten van je klanten
Als bedrijf moet jij ervoor zorgen dat klanten en andere betrokken partijen hun rechten kunnen uitoefenen. Het gaat hierbij om bestaande rechten – zoals het recht op inzage en verwijdering van hun gegevens – maar ook om nieuwe rechten. De AVG stelt namelijk dat mensen recht hebben op dataportabiliteit. Dit is het recht om persoonsgegevens die een organisatie van hen heeft te ontvangen, om deze zelf op te slaan of deze door te geven aan een andere organisatie.
Stap 3 – Inzicht in persoonsgegevens
Overzicht van je persoonsgegevens
Het is natuurlijk van het allergrootste belang dat je precies weet welke persoonsgegevens er binnen jouw bedrijf omgaan. Zorg ook dat je weet welke gegevens er opgeslagen worden, waar ze vandaan komen en met welke andere organisaties je deze persoonsgegevens deelt. De AVG stelt bedrijven en organisaties verplicht om een register bij te houden waarmee aangetoond kan worden dat ze in overeenstemming met de wet handelen.
Stap 4 – Privacy impact assessment
Het nut van assessments
Onder de AVG kunnen organisaties verplicht zijn een privacy impact assessment (PIA) uit de voeren. Hiermee worden van tevoren de privacyrisico’s van de gegevenswerking in kaart gebracht. Vervolgens moet er gekeken worden welke maatregelen getroffen moeten worden om de risico’s te verkleinen. Dit soort assessment is verplicht als de gegevenswerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Bij organisaties die, op grote schaal bijzondere persoonsgegevens verwerken en als er systematisch mensen worden gevolgd in een publiek toegankelijk gebied.
Stap 5 – Privacy by design & by default
Wat wordt het: Privacy by design of privacy by default?
De Algemene Verordening Gegevensbescherming (AVG) heeft twee uitgangspunten: privacy by design en privacy by default.
- Privacy by design houdt in, dat je bij het ontwerpen van al je producten en diensten ervoor moet zorgen dat persoonsgegevens goed worden beschermd.
- Privacy by default houdt in, dat je maatregelen moet nemen om ervoor te zorgen alleen de persoonsgegevens die strikt noodzakelijk zijn worden verwerkt.
Stap 6 – Noodzaak functionaris gegevensbescherming!
Heeft u een functionaris voor gegevensbescherming nodig?
Het kan zijn dat jouw bedrijf straks verplicht is om een functionaris voor de gegevensverwerking aan te stellen. De functionaris gegevensbescherming (FG) houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden. Wil je meer weten wat de taken van de functionaris voor de gegevensbescherming zijn? Lees hier meer details.
Stap 7 – Datalekken
Datalekken na 2016
Datalekken gaan strenger gecontroleerd worden. Zo stelt de Algemene Verordening Gegevensbescherming (AVG) dat alle datalekken die zich binnen een organisatie hebben voorgedaan, geregistreerd moeten worden. Het moet voor de Autoriteit Persoonsgegevens mogelijk zijn om dit te controleren.
Meer weten over de wet datalekken 2016? Lees hier meer.
Stap 8 – Bewerkersovereenkomsten
Controleer bewerkersovereenkomsten
Sommige organisaties hebben de gegevensverwerking uitbesteed aan een bewerker (of verwerker). Is dit binnen jouw organisatie ook het geval, ga dan na of de gemaakte afspraken nog toereikend zijn en voldoen aan de eisen van de AVG. Denk daarbij aan het communicatiebureau dat uw e-mailmarketing of telefonische verkoop verzorgt, uw administratiekantoor, externe helpdesk of payroll service. Onder de huidige en toekomstige wetgeving bent u verplicht met deze partijen een verwerkersovereenkomst af te sluiten waarin u opdracht, doel en middelen voor de gegevensverwerking vastlegt.
Stap 9 – Privacy over de grens
Privacy over de grens General Data Protection Regulation!
Wanneer je bedrijf in meerdere EU-lidstaten werkzaam is, had je voorheen te maken met meerdere privacy toezichthouders. Onder de AVG hoef je met nog maar één partij zaken te doen. Je kunt zelf bepalen welke privacy toezichthouder dit wordt (de leidende toezichthouder).
De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen.
Stap 10 – Toestemming
Heeft u wel toestemming van uw klant?
De gegevensverwerking kan gebaseerd zijn op de toestemming van de betrokkenen zoals uw klant. De AVG stelt strengere eisen aan deze toestemming. Ga na welke eisen dit zijn en in hoeverre jouw bedrijf hieraan al voldoet. Onder de AVG moet je ook kunnen aantonen dat je de toestemming hebt gekregen. Die legt vast welke plichten de bewerker heeft en hoe de verantwoordelijke daarop toe mag zien. En, sinds 2016, ook hoe je omgaat met datalekken en vooral wie de boetes betaalt die daarvan het gevolg kunnen zijn. Zonder bewerkersovereenkomst blijft dat sowieso liggen bij de verantwoordelijke. Meer weten? Download deze uitgebreide handleiding met wat u zoals kunt doen om uw zaken goed te regelen:
Aanvullende informatie over de AVG
Behalve dat je gebruik kunt maken van bovenstaand stappenplan, zijn er meer manieren om je voor te bereiden op de invoering van de Algemene Verordening Gegevensbescherming. Ook de Europese privacytoezichthouders hebben richtlijnen met criteria opgesteld om het risico voor je onderneming te bepalen. Ter aanvulling publiceert de Autoriteit Persoonsgegevens op termijn een lijst van verwerkingen waarvoor een privacy impact assessment verplicht is
In de rechter colom treft u de opsomming aan van categorieën van vrijgestelde verwerkingen van persoonsgegevens welke betrekking hebben op zakken binnen de automatisering. Door op de naam van een categorie te klikken, krijgt u ten eerste een beschrijving te zien van deze categorie en ten tweede de nadere vereisten waaraan deze verwerking moet voldoen om voor vrijstelling in aanmerking te komen.
Voor vrijstelling moet hier aan de volgende 2 voorwaarden zijn voldaan:
- De verwerking voldoet aan de beschrijving van een bepaalde categorie van verwerkingen (bijvoorbeeld: personeelsadministratie, bezoekersregistratie).
- De verwerking voldoet aan de nadere vereisten voor die bepaalde categorie. Hierbij gaat het om de toegestane doeleinden van de verwerking, de toegestane categorieën gegevens, de toegestane ontvangers van de gegevens, enzovoort.
Paragraaf 8. Beheer en beveiliging
Bron: https://autoriteitpersoonsgegevens.nl
Of download hier het officiële advies gericht aan de minister van Justitie: