General Data Protection Regulation / AVG

314cloud-penetrator-web-security-op-orde

De nieuwe wet “Algemene Verordening Gegevensbescherming”

10 stappen als voorbereiding op de nieuwe Algemene Verordening Gegevensbescherming

Het lijkt nog ver weg 2018, maar als ondernemer kun je er maar beter goed op voorbereid zijn.

Vanaf 25 mei 2018 moeten organisaties voldoen aan de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Deze wet gaat gelden voor de gehele Europese Unie en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wetgeving vraagt van veel ondernemers de nodige voorbereidingen. De Autoriteit Persoonsgegevens (AP) heeft daarom een stappenplan gemaakt waarmee organisaties zich kunnen voorbereiden op de invoering hiervan.

De AVG versterkt en breidt privacyrechten van mensen uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk komt – meer dan nu het geval is – op de verantwoordelijkheid van organisaties te liggen: zij moeten aan kunnen tonen dat zij zich aan de wet houden.

Het stappenplan AVG

De nieuwe wetgeving vraagt van veel ondernemers de nodige voorbereidingen.  Wilt u inzicht in uw huidige IT security en leren waar uw kwetsbaarheden en verbeterpunten liggen?De Autoriteit Persoonsgegevens (AP) heeft daarom een stappenplan gemaakt waarmee organisaties zich kunnen voorbereiden op de invoering hiervan:

Stap 1 – Bewustwording

Bewustwording

Zorg voor bewustwording binnen de organisatie. Het is immers belangrijk om te weten wat de nieuwe regels inhouden. Breng ook in kaart wat deze regels voor je medewerkers en middelen betekenen. Informeer je medewerkers, organiseer awareness sessies. Uw medewerkers maken met de juiste kennis minder fouten. Blijf alert en zorg voor de juiste procedures, deze duidelijkheid binnen uw organisatie zal zeker vruchten afwerpen. Voorkomen is goedkoper dan genezen.

Stap 2 – Kennis van rechten

Ken de rechten van je klanten

Als bedrijf moet jij ervoor zorgen dat klanten en andere betrokken partijen hun rechten kunnen uitoefenen. Het gaat hierbij om bestaande rechten – zoals het recht op inzage en verwijdering van hun gegevens – maar ook om nieuwe rechten. De AVG stelt namelijk dat mensen recht hebben op dataportabiliteit. Dit is het recht om persoonsgegevens die een organisatie van hen heeft te ontvangen, om deze zelf op te slaan of deze door te geven aan een andere organisatie.

Stap 3 – Inzicht in persoonsgegevens

Overzicht van je persoonsgegevens

Het is natuurlijk van het allergrootste belang dat je precies weet welke persoonsgegevens er binnen jouw bedrijf omgaan. Zorg ook dat je weet welke gegevens er opgeslagen worden, waar ze vandaan komen en met welke andere organisaties je deze persoonsgegevens deelt. De AVG stelt bedrijven en organisaties verplicht om een register bij te houden waarmee aangetoond kan worden dat ze in overeenstemming met de wet handelen.

Stap 4 – Privacy impact assessment

Het nut van assessments

Onder de AVG kunnen organisaties verplicht zijn een privacy impact assessment (PIA) uit de voeren. Hiermee worden van tevoren de privacyrisico’s van de gegevenswerking in kaart gebracht. Vervolgens moet er gekeken worden welke maatregelen getroffen moeten worden om de risico’s te verkleinen. Dit soort assessment is verplicht als de gegevenswerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Bij organisaties die, op grote schaal bijzondere persoonsgegevens verwerken en als er systematisch mensen worden gevolgd in een publiek toegankelijk gebied.

Stap 5 – Privacy by design & by default

Wat wordt het: Privacy by design of privacy by default?

De Algemene Verordening Gegevensbescherming (AVG)  heeft twee uitgangspunten: privacy by design en privacy by default.

  • Privacy by design houdt in, dat je bij het ontwerpen van al je producten en diensten ervoor moet zorgen dat persoonsgegevens goed worden beschermd.
  • Privacy by default houdt in, dat je maatregelen moet nemen om ervoor te zorgen alleen de persoonsgegevens die strikt noodzakelijk zijn worden verwerkt.

Stap 6 – Noodzaak functionaris gegevensbescherming!

Heeft u een functionaris voor gegevensbescherming nodig?

Het kan zijn dat jouw bedrijf straks verplicht is om een functionaris voor de gegevensverwerking aan te stellen. De functionaris gegevensbescherming (FG) houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden.  Wil je meer weten wat de taken van de functionaris voor de gegevensbescherming zijn? Lees hier meer details.

Stap 7 – Datalekken

Datalekken na 2016

Datalekken gaan strenger gecontroleerd worden. Zo stelt de Algemene Verordening Gegevensbescherming (AVG)  dat alle datalekken die zich binnen een organisatie hebben voorgedaan, geregistreerd moeten worden. Het moet voor de Autoriteit Persoonsgegevens mogelijk zijn om dit te controleren.

Meer weten over de wet datalekken 2016? Lees hier meer.

Stap 8 – Bewerkersovereenkomsten

Controleer bewerkersovereenkomsten

Sommige organisaties hebben de gegevensverwerking uitbesteed aan een bewerker (of verwerker). Is dit binnen jouw organisatie ook het geval, ga dan na of de gemaakte afspraken nog toereikend zijn en voldoen aan de eisen van de AVG. Denk daarbij aan het communicatiebureau dat uw e-mailmarketing of telefonische verkoop verzorgt, uw administratiekantoor, externe helpdesk of payroll service. Onder de huidige en toekomstige wetgeving bent u verplicht met deze partijen een verwerkersovereenkomst af te sluiten waarin u opdracht, doel en middelen voor de gegevensverwerking vastlegt.

Stap 9 – Privacy over de grens

Privacy over de grens

Wanneer je bedrijf in meerdere EU-lidstaten werkzaam is, had je voorheen te maken met meerdere privacy toezichthouders. Onder de AVG hoef je met nog maar één partij zaken te doen. Je kunt zelf bepalen welke privacy toezichthouder dit wordt (de leidende toezichthouder).
De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen.

Stap 10 – Toestemming

Heeft u wel toestemming van uw klant?

De gegevensverwerking kan gebaseerd zijn op de toestemming van de betrokkenen zoals uw klant. De AVG stelt strengere eisen aan deze toestemming. Ga na welke eisen dit zijn en in hoeverre jouw bedrijf hieraan al voldoet. Onder de AVG moet je ook kunnen aantonen dat je de toestemming hebt gekregen. Die legt vast welke plichten de bewerker heeft en hoe de verantwoordelijke daarop toe mag zien. En, sinds 2016, ook hoe je omgaat met datalekken en vooral wie de boetes betaalt die daarvan het gevolg kunnen zijn. Zonder bewerkersovereenkomst blijft dat sowieso liggen bij de verantwoordelijke. Meer weten?  Download deze uitgebreide handleiding met wat u zoals kunt doen om uw zaken goed te regelen:

Aanvullende informatie over de AVG

Behalve dat je gebruik kunt maken van bovenstaand stappenplan, zijn er meer manieren om je voor te bereiden op de invoering van de Algemene Verordening Gegevensbescherming. Ook de Europese privacytoezichthouders hebben richtlijnen met criteria opgesteld om het risico voor je onderneming te bepalen. Ter aanvulling publiceert de Autoriteit Persoonsgegevens op termijn een lijst van verwerkingen waarvoor een privacy impact assessment verplicht is

In de rechter colom treft u de opsomming aan van categorieën van vrijgestelde verwerkingen van persoonsgegevens welke betrekking hebben op zakken binnen de automatisering. Door op de naam van een categorie te klikken, krijgt u ten eerste een beschrijving te zien van deze categorie en ten tweede de nadere vereisten waaraan deze verwerking moet voldoen om voor vrijstelling in aanmerking te komen.

Voor vrijstelling moet hier aan de volgende 2 voorwaarden zijn voldaan:

  1. De verwerking voldoet aan de beschrijving van een bepaalde categorie van verwerkingen (bijvoorbeeld: personeelsadministratie, bezoekersregistratie).
  2. De verwerking voldoet aan de nadere vereisten voor die bepaalde categorie. Hierbij gaat het om de toegestane doeleinden van de verwerking, de toegestane categorieën gegevens, de toegestane ontvangers van de gegevens, enzovoort.

Paragraaf 8. Beheer en beveiliging

Bron:  https://autoriteitpersoonsgegevens.nl

Of download hier het officiële advies gericht aan de minister van Justitie: