Met 10 tips klaar voor Algemene Verordening Gegevensbescherming

Op dit moment geldt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze wet is van toepassing op alle geautomatiseerde verwerkingen van gegevens van natuurlijke personen, bijvoorbeeld naam, adres, geslacht, inkomen, etcetera. Maar ook op de verwerking van bijvoorbeeld medische gegevens of gegevens over ras, levensovertuiging, politieke of seksuele voorkeur.

Op 25 mei 2016 is door de Europese Unie de Algemene Verordening Gegevensbescherming (AVG) aangenomen en op 25 mei 2016 is deze in werking getreden. De AVG wordt echter pas van kracht op 25 mei 2018 en zal dan de Wbp vervangen. Vanaf dat moment geldt dan in heel Europa dezelfde privacywetgeving. De AVG zorgt onder meer voor (i) versterking en uitbreiding van privacyrechten, (ii) meer verantwoordelijkheden voor organisaties en (iii) een forse verhoging van boetes.

Tussen het moment van inwerkingtreden en het moment dat de AVG daadwerkelijk van toepassing is zit een periode van twee jaar. Daarmee is aan organisaties een periode van twee jaar (waarvan nu dus nog maar één jaar resteert) gegund om zich voor te bereiden op de komst van de AVG en te voldoen aan de verplichtingen. De Autoriteit Persoonsgegevens heeft eerder aangekondigd dat ze vanaf 25 mei 2018 ook daadwerkelijk zal toezien op naleving van de AVG.

De AVG brengt een aantal veranderingen te weeg, waaronder de volgende:

• De hoogte van een op te leggen boete door de Autoriteit Persoonsgegevens wordt aanzienlijk vergroot, van € 820.000 onder de Wbp naar € 20 miljoen of 4% van de wereldwijze jaaromzet als dat meer is. Bovendien kunnen boetes niet alleen worden opgelegd aan een ‘verantwoordelijke’ maar ook aan een ‘bewerker’.
• Omdat de meldingsplicht voor het verwerken van persoonsgegevens vervalt en daarvoor een registerplicht in de plaats treedt zal een deel van de administratieve lasten voor organisaties komen te vervallen. Daar staat tegenover dat de AVG, meer dan de Wbp, een behoorlijk aantal formaliteiten bevat waaraan organisaties dienen te voldoen zodat de administratieve lasten om die reden juist zullen toenemen.
• Voor internationaal actieve organisaties geldt dat zij straks te maken krijgen met één Europese privacywet in plaats van verschillende nationale privacywetten. De regelgeving in heel Europa is dus gelijk, zij het dat lokale overheden nog wel de mogelijkheid hebben om op bepaalde vlakken aanvullende wetgeving te creëren.
• De AVG geldt voor alle organisaties die binnen de EU producten of diensten aanbieden of binnen de EU het gedrag van individuen monitoren, ongeacht of een organisatie ook gevestigd is binnen de EU. Dat betekent dus dat concurrenten van buiten de EU op de Europese markt aan dezelfde privacyregels zullen moeten voldoen.
• Nieuw is het recht op dataoverdracht. Dat houdt in dat een betrokkene van een organisatie aan wie hij zijn persoonsgegevens heeft verstrekt mag verlangen dat die gegevens aan hem worden verstrekt zodat de betrokkene deze gegevens aan een andere organisatie kan verstrekken, ofwel dat de organisatie die gegevens rechtstreeks aan een andere, door de betrokkene aan te wijzen andere organisatie verstrekt.
• In de AVG is bepaald dat een organisatie de persoonsgegevens die zij verwerkt op verzoek van de betrokkene moet verwijderen als aan bepaalde voorwaarden is voldaan: het recht op vergetelheid.

Als uw organisatie persoonsgegevens verwerkt is het van belang na te gaan of u aan de AVG voldoet. Daarvoor dient u in ieder geval het volgende te doen:

1. Inventariseer welke persoonsgegevens uw organisatie verwerkt en op wat voor manier die verwerking in de organisatie plaatsvindt.
2. Ga na op welke grondslag uw organisatie persoonsgegevens verwerkt en of die grondslag straks nog wel voldoet. Als persoonsgegevens worden verwerkt op basis van verkregen toestemming, geldt die toestemming straks nog wel? Mag uw organisatie nog wel mailings e.d. versturen?
3. Stel een procedure op voor datalekken zodat duidelijk is welke stappen uw organisatie moet nemen wanneer sprake is van (een vermoeden van) een datalek.
4. Beoordeel of uw organisatie verplicht is om een Functionaris Gegevensbescherming aan te stellen.
5. Ga na of uw organisatie een register voor verwerkingen dient op te stellen en bij te houden. Daarvan is in ieder geval sprake bij overheidsorganisaties en wanneer uw organisatie meer dan 250 medewerkers telt.
6. Controleer uw overeenkomsten met (onder meer) hosting- en cloudproviders. Deze partijen kwalificeren als bewerker en de AVG bepaalt dat in een bewerkersovereenkomst veel meer zaken verplicht moeten zijn opgenomen, bijvoorbeeld ten aanzien van beveiligingsmaatregelen en het inschakelen van derde partijen.
7. Is de privacyverklaring van uw organisatie nog op orde? De AVG stelt hieraan namelijk meer eisen.
8. Voor een Privacy Impact Assessment uit. Ook als deze niet verplicht is. Zo’n ‘gegevensbeschermingseffectbeoordeling’ helpt u namelijk om inzicht te krijgen in de wijze waarop uw organisatie omgaat met het verwerken van persoonsgegevens.
9. Is de beveiliging van de ICT binnen uw organisatie op orde? Dit is onder meer van belang omdat zowel de verantwoordelijke als de bewerker onder de AVG verantwoordelijk is voor een deugdelijke technische en organisatorische beveiliging van systemen waarmee persoonsgegevens worden verwerkt.
10. Maak uw organisatie vertrouwd met de uitgangspunten ‘privacy by design’ en ‘privacy by default’ die onder de AVG verplicht worden en ga na hoe u deze beginselen binnen uw organisatie kunt uitvoeren.

In de komende weken gaat het team Privacy van PlasBossinade met een serie blogs nader in op de komst van de AVG en hoe u uw organisatie daarop kunt voorbereiden en gaan we dieper in op de hiervoor genoemde onderwerpen. Op die manier wil PlasBossinade u helpen uw organisatie AVG ‘compliant’ te laten zijn.

• Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
• Een datalek, wat moet ik ermee?
• Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
• Register voor verwerkingsactiviteiten onder de nieuwe AVG
• De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkersovereenkomst
• De nieuwe privacyverklaring
• De AVG: Wat is een PIA en moet u daar iets mee?
• De AVG: Is uw beveiliging van persoonsgegevens op orde?