In 2018 verandert de privacywetgeving ingrijpend. Vanaf 25 mei 2018 wordt namelijk de Algemene Verordening Gegevensbescherming (AVG) van kracht. Met deze nieuwe Europese privacywetgeving krijgen burgers meer rechten en organisaties meer verplichtingen. Voldoen zij niet aan die verplichtingen? Dan wachten mogelijk hoge boetes. Op dit moment zijn veel bedrijven nog onvoldoende voorbereid op de AVG. Wat kunt u doen?
De AVG is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) zal vervangen. De AVG staat internationaal ook wel bekend als de ‘General Data Protection Regulation’ (GDPR) en is strenger dan de Wbp. Zo krijgen burgers meer en stevigere privacyrechten. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen én de verantwoordelijkheid om aan te tonen dat zij zich aan de AVG houden.
Omdat vrijwel iedere organisatie tegenwoordig persoonsgegevens verwerkt, krijgt ook vrijwel iedere organisatie te maken met de AVG.
De Autoriteit Persoonsgegevens wordt vanaf 25 mei 2018 belast met het toezicht op de naleving van de AVG. Zij krijgen meer bevoegdheden dan onder de Wbp. Houden organisaties zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.
Gelet op het voorgaande is het belangrijk om uw organisatie op tijd compliant te maken. En hoewel dit een serieuze inspanning vergt, heeft u ook nog wel even de tijd. Als u nog geen actie had ondernomen is het wel belangrijk om op korte termijn de volgende stappen te nemen.
Onder de AVG zijn sommige organisaties verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Het is belangrijk om na te gaan of dat voor u het geval is. Maar ook als dat niet zo is, is het belangrijk dat u één of meer medewerkers binnen uw organisatie aanwijst als verantwoordelijke(n) voor privacy compliance. Deze medewerkers moeten zich goed op de hoogte (laten) stellen van de nieuwe privacyregels en kunnen zich vervolgens bezig houden met de hiernavolgende stappen. Houdt u er rekening mee dat deze werkzaamheden, zeker in het begin, veel tijd kosten.
Door de ruime formulering van de AVG vallen straks meer gegevens dan nu onder het begrip ‘persoonsgegevens’. Om compliant te kunnen worden is het dus belangrijk dat u het volgende in kaart brengt:
Denkt u daarbij niet alleen aan uw primaire processen, maar ook aan de verwerking van personeelsgegevens (salarisadministratie) én aan de verwerking van gegevens die u van websitebezoekers verzamelt.
Heeft u uw gegevensverwerking (gedeeltelijk) uitbesteed aan verwerkers, zoals ICT-leveranciers of een salarisadministrateur? Dan is het belangrijk dat de contracten die u met hen heeft afgesloten voldoen aan de AVG. Laat u die contracten dus door een advocaat van Schravenmade Advocaten beoordelen en, waar nodig, aanpassen.
Onder de AVG krijgen burgers meer en stevigere privacyrechten. Het is daarom noodzakelijk dat u uw privacybeleid op de volgende punten afstemt op de AVG:
Beschrijf hoe uw organisatie omgaat met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Dit houdt in dat uw organisatie er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens worden beschermd en dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken.
Bepaal hoe lang u persoonsgegevens bewaart en beschrijf hoe u ervoor zorgt dat ze tijdig worden verwijderd.
Zorg ervoor dat de manier waarop u toestemming vraagt, krijgt en registreert voor de verwerking van persoonsgegevens voldoet aan de eisen van de AVG. U heeft voor sommige gegevensverwerkingen straks namelijk expliciet toestemming nodig van de betrokkenen.
Stel een protocol datalekken op en houd een register bij van de datalekken.
De personen van wie u persoonsgegevens verwerkt krijgen straks meer en verbeterde rechten. Zo hebben zij straks niet alleen recht op inzage in hun gegevens en recht op correctie en verwijdering, maar ook het recht op dataportabiliteit. Hierbij moet u ervoor zorgen dat de persoon de gegevens die u heeft verzameld op zijn of haar verzoek krijgt en kan doorgeven aan een andere organisatie. Het is belangrijk dat u daarvoor processen heeft klaar liggen.
Op internet is inmiddels veel informatie over de AVG te vinden. Ook de Autoriteit Persoonsgegevens heeft de nodige informatie beschikbaar gesteld. Wij kunnen ons echter voorstellen dat het u na het lezen van die informatie duizelt en u zich afvraagt wat nu precies op uw organisatie van toepassing is.
Neemt u dan gerust contact met ons op. Schravenmade Advocaten adviseert u graag over de AVG en uw privacybeleid. Ook zijn wij u graag van dienst bij het beoordelen en - eventueel - aanpassen van uw ICT-contracten.