Stappenplan - bereid uw organisatie voor op de nieuwe AVG privacywet

Vanaf 25 mei 2018 treedt de nieuwe wet Algemene Verordening Gegevensbescherming (AVG) in werking. Bedrijven en organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Zo moeten zij - meer dan nu - aantonen dat ze zich aan deze nieuwe wet houden. Als organisatie is het belangrijk om goed voorbereid te zijn en nu al stappen te ondernemen. Onderzoek hoe de nieuwe wet van toepassing is op uw onderneming. En controleer welke punten u moet aanpassen in huidige processen en diensten om te voldoen aan de AVG. Zorg dat uw onderneming zich goed voorbereid. Houdt u zich namelijk niet aan de nieuwe wet, dan kunnen er sancties opgelegd worden van maximaal 20 miljoen euro of zelfs vier procent van uw wereldwijde omzet.

Voor algemene vragen kunt u terecht bij de toezichthouder Autoriteit Persoonsgegevens. Wilt u echter weten of u daadwerkelijk aan de nieuwe eisen en regels voldoet, dan zult u een adviesbureau, jurist of brancheorganisatie om hulp moeten vragen. Omdat het gaat om een nieuwe Europese wet kunnen momenteel ook nog niet alle vragen beantwoord worden. In deze gevallen kan er enkel gebruik gemaakt worden van de opgestelde guidelines.

De volgende 9 belangrijkste stappen helpen u op weg met de voorbereidingen:

1) Bewustwording creëren bij uw personeel

Zorg ervoor dat uw personeel op de hoogte is van de nieuwe wetgeving zodat zij een goede inschatting kunnen maken van de tijd en middelen die nodig zijn om aan alle eisen te voldoen. De implementatie van nieuwe handelingen en processen kan veel tijd kosten, start daarom nu! U kunt uw personeel op de hoogte brengen middels een presentatie aan het gehele bedrijf. De nieuwe wet is te complex om bijvoorbeeld in een e-mail aan uw medewerkers uit te leggen.

2) Houd rekening met de rechten van het individu

Personen krijgen meer rechten over de behandeling van persoonsgegevens. Ze hebben bijvoorbeeld recht op inzage en verwijdering van beschikbare gegevens. Houd echter ook rekening met nieuwe rechten, zoals die van dataportabiliteit. Dit houdt in dat klanten gegevens kunnen opvragen om deze vervolgens te verstrekken aan andere. Ten slotte wordt het recht op correctie en verwijdering uitgebreider dan deze nu is. In de meeste gevallen zullen bedrijven hier namelijk al binnen vier weken aan moeten voldoen. Denk na over de wijze waarop uw bedrijf personen toegang verleend tot de opgevraagde data en of personen deze data kunnen bewerken of delen.

3) Stel een verwerkingsregister op

Organisaties krijgen te maken met een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie handelt in overeenstemming met de AVG. U zult een overzicht moeten maken van alle verwerkte persoonsgegevens. Hierin moet u vermelden waar de data vandaan komt, met welk doel deze verzameld zijn en hoe en met wie deze data gedeeld gaat worden. Ook inhoudelijk zult u moeten vermelden om welke gegevens het gaat, zoals bijvoorbeeld burgerservicenummers, NAW-gegevens of camerabeelden. Een algemene beschrijving van de technische beveiliging en maatregelen binnen de organisatie dienen verantwoord te worden. Tenslotte dient u de ontvangen toestemming - voor het verzamelen en verstrekken van de data van betreffende personen - te kunnen weerleggen aan de controleur.

4) Voer een Privacy Impact Assessment uit

Bedrijven welke werken met een hoog privacyrisico dienen een Privacy Impact Assessment (PIA) uit te voeren. De PIA is een instrument waarmee vooraf bepaald kan worden wat de risico's zijn bij de verwerking van bepaalde persoonsgegevens. Enkele voorbeelden van risico verwerkingen zijn persoonsgegevens welke betrekking hebben op: profilering, gezondheid, persoonlijke voorkeuren of interesses, kredietwaardigheid, of DNA-testen.

5) Houd rekening met privacy by design & privacy by default

Zorg er bij het ontwerpen van producten en diensten voor dat u niet meer gegevens verzameld dan noodzakelijk is voor het gewenste doel. Let er hierbij ook op dat gegevens niet langer dan nodig is bewaard worden. Privacy by default houdt in dat er enkel data verzameld wordt die strikt noodzakelijk is voor het specifieke doel. Kort gezegd: de privacy wordt standaard maximaal gewaarborgd. Zo registreert een app die u aanbiedt niet standaard de locatie van gebruikers als dat niet nodig is.

6) Stel nu uw functionaris aan

Organisatie welke op grote schaal met persoonsgegevens werken zijn verplicht om een Functionaris voor de Gegevensverwerking (FG) aan te stellen. Met "op grote schaal" wordt gedoeld op organisaties die jaarlijks de gegevens van meer dan 5.000 personen verwerkt.
Ook partijen die op grote schaal bijzondere persoonsgegevens verwerken en waarbij dit de kernactiviteit van de organisatie is (bijzondere persoonsgegevens zijn bijvoorbeeld politieke opvattingen en genetische gegevens) is deze functie verplicht.
Voor overheidsinstanties, gemeenten en zorg- en onderwijsinstelling is deze verplichting nieuw. Overheidsinstanties en publieke organisaties zijn dit ongeacht het type gegevens verwerking verplicht. Voor rechtbanken geldt de verplichting van een FG overigens niet.

Het is aan te bevelen om deze functionaris in uw organisatie alvast te bepalen of om deze te werven. De werkzaamheden van de FG zijn onder andere: toezicht houden, inventarisaties maken, vragen van binnen en buiten beantwoorden en adviezen geven.

7) Maak een melding van datalekken

De meldplicht van datalekken is niet nieuw in de privacywet. Wel zijn er strengere eisen voor de eigen registratie van datalekken. U moet alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens deze kunnen controleren en precies kunnen zien dat u er alles aan heeft gedaan om de data te beschermen.

8) Zorg voor bewerkersovereenkomsten met uw partners

Besteedt u uw gegevensverwerking uit aan bijvoorbeeld een administratiekantoor? Dan zult u moeten controleren of de maatregelen die jullie zijn overeengekomen voldoen aan de eisen van de nieuwe wet. Deze bewerker van persoonsgegevens heeft verschillende afgeleide verplichtingen van uw organisatie waaronder beveiliging en geheimhouding van gegevens.

9) Leidende toezichthouder

Als uw organisatie internationaal opereert, bijvoorbeeld binnen meerdere EU-lidstaten? Of heeft uw gegevensverwerking impact in meerdere lidstaten? Dan hoeft u maar met één toezichthouder zaken te doen. De leidende toezichthouder wordt deze genoemd. U kunt zelf bepalen onder wie u komt te vallen, doe dit daarom tijdig.

Places Nieuws helpt u graag verder

Zorg dat uw organisatie op tijd voorbereid is op de nieuwe wetgeving en begin direct met het aanbrengen van veranderingen aan de hand van het stappenplan. Om u te helpen zal dit artikel een vervolg krijgen, waarin wij nog verder het onderwerp in duiken en een veel voorkomend obstakel van ondernemers uitlichten. Waar loopt u tegenaan tijdens de voorbereidingen? Laat het onze redactie weten! Reageer op dit bericht of klik op de knop "Tip de redactie" en wij nemen contact met u op.