PRIVACY IN 2018

Hoe bereid je je voor op de nieuwe wet?

Op 25 mei 2018 gaat de nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG), in. Deze geldt voor de hele Europese Unie. De wet verstrekt en breidt de privacy rechten van mensen uit en geeft organisaties en bedrijven meer verplichtingen en verantwoordelijkheid omtrent het verwerken van persoonsgegevens. Overtreding van de nieuwe wet kan oplopen tot een boete van 20 miljoen euro of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens (AP) adviseert organisaties op tijd te beginnen met het implementeren. Gelukkig zijn er guidelines opgesteld om je te helpen. Hierbij een 10-stappen plan:

1. Bewustwording – Zorg ervoor dat de relevante mensen in de organisatie op de hoogte zijn, zodat zij kunnen inschatten wat de impact van de AVG is op het bedrijf.

2. Rechten van betrokkenen – De betrokkenen (waarvan je de persoonsgegevens verwerkt) krijgen meer en verbeterde privacy rechten. Zorg dat zij deze rechten goed kunnen uitoefenen.

3. Overzicht verwerkingen – Door het bijhouden van een register van verwerkingsactiviteiten voldoe je aan de verantwoordingsplicht. Zorg dus dat je alles goed documenteert.

4. Data protection impact assessment (DPIA) – Dit is een instrument om vooraf privacy risico’s van een gegevensverwerking in kaart te brengen. Je kunt verplicht zijn om deze uit te voeren.

5. Privacy by design & privacy by default – Privacy by design houdt in dat al bij het ontwerpen van producten en diensten wordt gezorgd dat de persoonsgegevens goed worden beschermd. Privacy by default houdt in dat er technische en organisatorische maatregelen worden genomen die ervoor zorgen dat alléén de persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel.

6. Functionaris voor de gegevensbescherming – Organisaties kunnen verplicht zijn om deze aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt.

7. Meldplicht datalekken – De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Alle datalekken moeten worden gedocumenteerd.

8.  Bewerkersovereenkomsten – Al heb je de gegevensverwerking uitbesteed, beoordeel dan of de overeengekomen maatregelen in de contracten nog steeds toereikend zijn.

9. Leidende toezichthouder – Al heeft de organisatie vestigingen in meerdere EU-lidstaten, hoeft er onder de AVG nog maar met één privacytoezichthouder zaken worden gedaan. Dit wordt dan de leidende toezichthouder.

10. Toestemming – Er worden strengere eisen gesteld aan de toestemming van de betrokkenen. Er moet bijvoorbeeld kunnen worden aangetoond dat er geldige toestemming is gekregen.

“Begin op tijd met het implementeren van de nieuwe regels”