De Autoriteit Persoonsgegevens heeft op 13 april 2017 een 10 stappenplan gepubliceerd die organisaties kan helpen in de voorbereidingen op de nieuwe Europese Privacywetgeving. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming van toepassing. Vanaf die datum geldt de wetgeving voor de hele Europese Unie.
Een organisatie kan/moet nu alvast stappen ondernemen om straks compliant te zijn aan de AVG. Om organisaties te helpen heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet.
1. Bewustwording
Een organisatie moet ervoor zorgen dat (relevante) medewerkers op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om te voldoen aan de AVG. Een organisatie kan bijvoorbeeld een interactieve workshop organiseren met iedere afdeling.
2. Rechten van betrokkenen
Betrokkenen krijgen meer en verbeterde rechten ten opzichte van de huidige privacywetgeving. Organisaties dienen er daarom voor te zorgen dat betrokkenen hun privacyrechten goed kunnen uitoefenen. Denk bijvoorbeeld aan het verwijderen van gegevens of het recht op inzage. Het recht van dataportabiliteit is een nieuw recht onder de AVG. Bij dit recht moet een organisatie ervoor zorgen dat betrokkenen hun gegevens gemakkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie.
3. Overzicht verwerkingen
Een organisatie moet de gegevensverwerkingen in kaart brengen. Documenteren welke gegevens de organisatie verwerkt en met welk doel deze gegevens worden verzameld, waar de gegevens vandaan komen en met wie de organisatie de gegevens deelt. Een organisatie heeft onder de AVG een documentatieplicht, wat inhoudt dat een organisatie moet kunnen aantonen dat zij in overeenstemming met de AVG handelt. Dit overzicht kan ook nodig zijn in geval betrokkenen hun privacyrechten uitoefenen. Als gegevens gecorrigeerd of verwijderd worden, moet dit worden doorgegeven aan de organisaties waarmee gegevens worden gedeeld.
4. Privacy Impact Assessment (PIA)
Organisaties kunnen verplicht zijn om een Privacy Impact Assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Als de gegevensverwerking een hoog privacyrisico met zich meebrengt moet een organisatie een PIA uitvoeren.
Als uit de PIA naar voren komt dat een beoogde verwerking een hoog risico oplevert en de organisatie geen maatregelen kan vinden om dit risico te beperken, dan moet een organisatie met de Autoriteit overleggen voordat de verwerking wordt gestart. Dit noemen ze voorafgaande raadpleging.
5. Privacy by design & privacy by default
Twee nieuwe termen binnen de AVG. Privacy by design houdt in dat een organisatie bij het ontwerpen van producten, systemen en diensten ervoor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat alle technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat een organisatie alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel. Bijvoorbeeld: als iemand zich wil abonneren op een nieuwsbrief, alleen die gegevens vragen die noodzakelijk zijn. Een geboortedatum is dan bijvoorbeeld niet relevant.
6. Functionaris voor de gegevenbescherming
Onder de AVG kunnen organisaties verplicht zijn een Functionaris voor de gegevensbescherming of Data protection officer aan te stellen, de voorwaarden staan in dit artikel. Een organisatie kan nu alvast bepalen of zij straks een Functionaris voor de Gegevensbescherming nodig hebben.
7. Meldplicht datalekken
De Meldplicht Datalekken blijft onder de AVG vrijwel gelijk aan de huidige privacywetgeving. De AVG stelt wel strengere eisen aan de registratie van datalekken. Alle datalekken moeten worden gedocumenteerd. Met de documentatie moet de Autoriteit kunnen controleren of een organisatie aan de meldplicht heeft voldaan.
8. Bewerkersovereenkomsten
Als een organisatie de gegevensverwerking heeft uitbesteed aan een bewerker, bijvoorbeeld de administratie, moet er een bewerkersovereenkomst worden gesloten. Een organisatie moet beoordelen of de overeengekomen maatregelen in de bestaande contracten met de bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG.
Houd er rekening mee dat de AVG spreekt van een overeenkomst per verwerking, dus het kan voorkomen dat er meerdere bewerkersovereenkomsten naast elkaar moeten worden afgesloten.
9. Leidende toezichthouder
Als een organisatie vestigingen heeft in meerdere lidstaten of hebben de gegevensverwerkingen in meerdere lidstaten impact, dan hoeft een organisatie onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd.
10. Toestemming
De gegevensverwerking kan gebaseerd zijn op toestemming van een betrokkene. De AVG stelt strengere eisen aan deze toestemming. Een organisatie doet er verstandig aan om de manier van toestemming vragen te evalueren en de toestemming te registreren. Onder de AVG moet een organisatie kunnen aantonen dat de betrokkene toestemming heeft gegeven. Daarnaast heeft de betrokkene het recht om te allen tijde de toestemming in te trekken.
De Europese Toezichthouders hebben daarnaast op 4 april een nieuwe guideline gepubliceerd over het Privacy Impact Assessment. Deze richtsnoer staat open voor opmerkingen en suggesties. De toezichthouders kunnen de guidelines waar nodig aanvullen en verrijken. Binnenkort publiceert de Autoriteit Persoonsgegevens een lijst met verwerkingen waarvoor een PIA verplicht is.
Ga jij dit stappenplan toepassen in jouw organisatie? Of pak jij het anders aan? Laat het ons weten in de reacties.
Bron: Autoriteit Persoonsgegevens