Wat je moet weten over de nieuwe privacywet, de AVG

De Nederlandse Wet bescherming persoonsgegevens gaat plaatsmaken voor een Europese privacy verordening, de Algemene Verordening Gegevensbescherming (AVG). 

De AVG zal per 25 mei 2018 van toepassing zijn. Vanaf dat moment gelden in de hele EU dezelfde privacyregels en kunnen er hoge boetes opgelegd worden. Daarom is nu echt het moment aangekomen om jouw organisatie AVG-compliant te maken.

De AVG in het kort

  • Transparantie, versterking en uitbreiding van de privacy rechten
  • Meer verantwoordelijkheid voor organisaties
  • Stevige bevoegdheden van de Europese privacy toezichthouders

De AVG is van toepassing als de data controller of processor (de organisatie) en / of het data subject (de persoon) in Europa gevestigd zijn.

Wat zijn persoonsgegevens? 

Persoonsgegevens zijn alle gegevens waarmee een bepaald individu geïdentificeerd kan worden. Dit zijn onder meer:

  • naam
  • adres
  • e-mailadres
  • IP adres
  • cookies (als deze cookie een gebruiker uniek identificeert)

Daarnaast zijn er ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Daarom gelden extra strenge regels voor de verwerking hiervan. Enkele voorbeelden van bijzondere persoonsgegevens:

  • burgerservice nummer 
  • ras
  • gezondheid
  • godsdienst
  • strafrechtelijk verleden
  • politieke overtuiging
  • lidmaatschap vakvereniging

Bereid je voor op de AVG

Om organisaties te helpen om zich voor te bereiden op de AVG heeft de Autoriteit Persoonsgegevens de belangrijkste 10 stappen op een rij gezet.

1. Bewustwording
Zorg ervoor dat medewerkers op de hoogte zijn van de nieuwe privacyregels en weten hoe ze met persoonsgegevens moeten omgaan. Dit houdt onder meer in dat vertrouwelijke data die niet meer nodig is verwijderd moet worden en dat persoonsgegevens niet onnodig worden gedeeld. 

2. Rechten van betrokkenen
Onder de AVG krijgen betrokkenen meer en verbeterde privacy rechten zoals het recht op inzage, correctie en verwijdering van hun persoons gegevens. Nieuw is het recht van dataportabiliteit: de betrokkene moet zijn persoonsgegevens, in een standaard elektronisch formaat, mee kunnen nemen naar een andere verantwoordelijke. 
Bekijk de inzage-, correctie- en verwijderingsprocedures binnen jouw organisatie nog eens kritisch en zorg ervoor dat medewerkers weten wat een inzageverzoek voor persoonsgegevens is. Check dan ook direct hoe ‘portable’ de opslag van de gegevens is. Kunnen de betrokkenen bijvoorbeeld een kopie van hun data in MS Excel krijgen? 

3. Overzicht verwerkingen
Bekijk verder alle bedrijfsprocessen, applicaties, diensten en goederen binnen jouw organisatie. Voor organisaties geldt een verantwoordingsplicht. Via documenten moet je kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn getroffen om aan de AVG te voldoen.

Beschrijf de bedrijfsprocessen waarbij persoonsgegevens worden verwerkt. Documenteer welke gegevens precies worden verwerkt en met welk doel. Beschrijf ook waar deze gegevens vandaan komen en met wie ze worden gedeeld. 

4. Data protection impact assessment
Brengt de gegevensverwerking waarschijnlijk een hoog privacyrisico met zich mee? Dan kan je onder de AVG verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om maatregelen te kunnen nemen om die risico’s te verkleinen.

5. Privacy by design & privacy by default
De AVG kent verplichte uitgangspunten: privacy by design en privacy by default. 
Privacy by design houdt in dat je nu al bij het ontwerpen van producten en diensten ervoor zorgt dat persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

6. Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Die verplichting geldt voor overheidsinstanties, publieke organisaties (ook zorg- en onderwijsinstellingen) en voor organisaties die regelmatig, systematisch en op grote schaal observeren of bijzondere persoonsgegevens verwerken.

7. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren.

8. Verwerkers overeenkomsten
Heb je gegevensverwerking uitbesteed aan een verwerker? Beoordeel of de overeenkomsten met die verwerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG.

Wat is een verwerker? 
Een verwerker is een organisatie aan wie de verantwoordelijke de gegevensverwerking heeft uitbesteed. Bijvoorbeeld een administratiekantoor of internetbureau. Een verwerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. Maar de bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens.

9. Leidende toezichthouder
Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen van jouw organisatie in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd, in Nederland is dat de Autoriteit Persoonsgegevens.

10. Toestemming
De gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan die toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt én registreert. Je moet bovendien kunnen aantonen dat je van betrokkene geldige toestemming hebt gekregen voor verwerking van persoonsgegevens. Ook moet het voor die persoon net zo makkelijk zijn om die toestemming in te trekken als om die te geven.

Meer informatie

Ga aan de slag en zorg dat jouw organisatie tijdig aan de AVG voldoet. Meer informatie vind je op de website van Autoriteit Persoonsgegevens.

Interesse? 

Delen