GDPR/AVG

Per 25 mei 2018 is de Nederlandse Wet Bescherming Persoonsgegevens (WBP) vervangen door de Europese General Data Protection Regulation (GDPR). Dit word ook wel de Algemene Verordering Gegevensbescherming (AVG) genoemd. Overheden en organisaties die werken met persoonsgegevens moeten tegenwoordig opereren volgens de nieuwe Europese privacywet.

Veel organisaties denken dat deze regels voor hen niet van toepassing zijn, aangezien organisaties denken ”wij werken niet met persoonsgegevens”. Echter is alleen al het bijhouden van personeelsgegevens (HR) al een voorbeeld van het in het bezit zijn van persoonsgegevens die beschermt dienen te worden. Nee is het antwoord hierop. Organisaties hebben namelijk ruimschoots de tijd gekregen om de bedrijfsvoering met de AVG in overeenstemming te brengen, vanaf 1 januari 2016 moeten bedrijven al voldoen aan de WBP (Wet Bescherming Persoonsgegevens) en zijn verplicht datalekken te melden. In de GDPR/AVG zijn deze regels aangescherpt en op Europees niveau doorgevoerd.

Hieronder een stappenplan welke organisaties kunnen doorlopen:

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daar op voor zodat u op tijd en op de juiste manier op verzoeken reageert.

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar ook is het belangrijk rekening te houden met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP (Autoriteit Persoonsgegevens) klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. U kunt het overzicht ook nodig hebben als betrokkenen hun privacy rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen?

NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige Wbp.

Onder de AVG kunt u verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hieruit kunt u dan maatregelen nemen om de risico’s te verkleinen.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken. Komt straks uit de DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u bij al het ontwerpen van producten en diensten voor zorgt dat personeelsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

  • Een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is.
  • Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken.
  • Als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking, ook wel FG genoemd, aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

De meldplicht voor datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Zo moet u alle datalekken documenteren. Aan de hand van deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat dan ook verder dan de huidige protocolplicht uit de Wbp, welke alleen betrekking heeft op de gemelde datalekken.

Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Wanneer dit niet het geval is, breng dan tijdig noodzakelijke wijzigingen aan.

WILT U MEER INFORMATIE OVER GDPR/AVG?