Privacywetgeving: Doe het zelf!
Op 25 mei 2018 dienen alle organisaties binnen de Europese Unie welke persoonsgegevens opslaan en/of verwerken aan de Europese Wet Gegevensbescherming te voldoen (ook wel Algemene Verordening Gegevensbescherming of AVG genoemd). In deze blog leest u hoe uw organisatie in 10 stappen privacy wetgeving proof kan worden.
Ook u bent vanaf 25 mei aantoonbaar verplicht om te voldoen aan privacy wetgeving
ALLE organisaties in Europa dienen te voldoen aan de nieuwe privacy wetgeving; als uw organisatie (of als ZZP’er) persoonsgegevens verwerkt dwingt de vernieuwde en strengere Europese wetgeving u vanaf 25 mei 2018 aantoonbaar te voldoen aan de Europese wetgeving. Aantoonbaar betekent dat u in geval van een controle door middel van documentatie dient te kunnen bewijzen dat u maatregelen heeft genomen.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacywetgeving. De AP staat voor het grondrecht op bescherming van persoonsgegevens.
De hoofdtaak van de AP is toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten, zoals onderzoek doen. Een andere belangrijke taak van AP is adviseren over nieuwe regelgeving.
De AP heeft de bevoegdheid om boetes op te leggen tot maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Maak het uzelf makkelijk met het 10-stappen plan van de Autoriteit Persoonsgegevens
Als organisatie kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG.
Om u op weg te helpen, heeft de AP een handreiking gegeven in de vorm van een 10-stappenplan. Hieronder vindt u een korte samenvatting van dit stappenplan.
- Bewustwording
Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. - Rechten van betrokkenen
Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. - Overzicht verwerkingen
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. - Data Protection Impact Assessment (DPIA)
Onder de AVG kunt u verplicht zijn een zogeheten Data Protection Impact Assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. - Privacy by design en privacy by Default
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. - Functionaris voor gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) (ook wel Privacy Officer genoemd) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. - Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U dient alle datalekken te documenteren. - Bewerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan één of meerdere bewerkers (in de AVG ‘verwerkers’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. - Leidende toezichthouder
Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. - Toestemming
Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt hieraan strengere eisen aan. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken.
U vindt meer informatie over dit 10-stappenplan op website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-biedt-10-stappenplan-voorbereiding-nieuwe-privacywet
Leg alle stappen vast in een document; uw Privacy Beleid
Om aan te tonen door middel van documentatie dient u alle stappen van hierboven vast te leggen. Deze documentatie vormt dan uw Privacy Beleid. Een Privacy Beleid is niet in één middag geschreven. Bij de AVG ligt de nadruk – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat vergt een gedegen voorbereiding. Niet alleen voor u als bestuurder, maar ook voor uw organisatie.
Gedeeltelijk uitbesteden kan ook!
ISO Privacy Advies heeft een unieke methode ontwikkeld volgens het “train de trainer” principe. Wij loodsen uw organisatie door het 10-stappenplan heen met behulp van instructies, invulformulieren en voorbeelddocumenten. Op deze manier kunt u een gedeelte van de werkzaamheden zelf uitvoeren en dus kosten besparen.
Interesse? Belt u dan naar 040-7878750 of vul ons contactformulier in.