De Europese Commissie en het Europees Parlement gaan over op actie:
De Europese Commissie en het Europees Parlement hebben besloten dat de huidige wetgeving niet langer aansluit op de veranderingen in de digitale wereld. Om een Europese regelgeving te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen: (GDPR) de Algemene Verordening Gegevensbescherming (AVG). De GDPR/AVG is op 25 mei 2016 in werking getreden en zal naar verwachting op 25 mei 2018 van kracht worden. Maar wat betekent dat voor uw bedrijf? Lees hier wat er gaat veranderen en hoe u zich kunt voorbereiden.
Wat verandert er in 2018?
- Alle organisaties worden geacht om vanaf 25 mei 2016 hun bedrijfsvoering met de AVG in overeenstemming te brengen en krijgen daarvoor tot 25 mei 2018 de tijd. Er staan een aantal interessante veranderingen in de AVG:
- De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet.
- De AVG geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.
- Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerkingen van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
- Het ‘recht om vergeten te worden’. In de AVG staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan.
- De AVG is een verordening, en niet slechts een EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig. Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is dus overal gelijk. Lokale overheden krijgen wel de kans om wetgeving aan te passen aan eigen behoeftes omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens, maar het zou heel goed kunnen dat andere instanties hier ook bij betrokken gaan raken.
- Het verbod van artikel 24 in de Wbp op de verwerking van identificatienummers zoals het BSN wordt opgeheven. In de AVG bestaat dat verbod niet, wat inhoudt dat voortaan vrijer gebruik van identificatienummers mogelijk is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.
Hoe kunt u zich alvast voorbereiden? - De AVG heeft een grote impact op organisaties die persoonsgegevens beheren en verwerken. De overgangsperiode tot 2018 is bedoeld om organisaties de ruimte te geven zo goed mogelijk te voldoen aan alle onderdelen van de verordening. Voor een goede voorbereiding moeten onder andere de volgende processen worden ingericht:
- Breng goed in kaart welke en hoeveel persoonsgegevens er worden bijgehouden en op wat voor manier deze worden bijgehouden in de organisatie.
- Zorg voor een procedure voor datalekken zodat het duidelijk is welke stappen er genomen moeten worden door de organisatie bij het vermoeden van of kennisneming van een incident dat (mogelijk) aangemerkt kan worden als een datalek.
- Ga na of de organisatie een Functionaris Gegevensbescherming (ook wel Data Protection Officer of Privacy Officer) moet aanstellen. Dat wordt in ieder geval verplicht voor organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken.
- Bij meer dan 250 medewerkers (of wanneer er gevoelige data wordt verwerkt), moet een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, grondslag en de genomen beveiligingsmaatregelen.
- Controleer de privacyverklaring van de organisatie. Die moet veel meer gedetailleerde informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
- De overeenkomsten met hosting- en cloudproviders en andere leveranciers die persoonsgegevens verwerken moeten worden gecontroleerd. In de bewerkersovereenkomsten met deze dienstverleners moet veel meer geregeld zijn dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.
- Nagaan of het nodig is om intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Bij gebruik van een nieuwe techniek voor het verwerken van persoonsgegevens of bij het koppelen van gegevensbronnen moet er eerst een onderzoek worden uitgevoerd naar de privacy-effecten als er door de nieuwe verwerking een groot risico voor de privacy van personen kan ontstaan.
Voor meer informatie verwijzen wij u naar onze workshop waar we uitgebreid de wet GDPR/AVG bespreken en u helpen om u juist voor te bereiden.