Bereid u voor op de Privacywet 2018

er 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. Vanaf die datum geldt in de hele EU dezelfde privacywetgeving. Nu hebben de lidstaten nog hun eigen nationale wetgeving, gebaseerd op de Europese privacyrichtlijnen uit 1995. De huidige Nederlandse Wet bescherming persoonsgegevens (Wbp) komt daarmee vanaf die datum te vervallen. Wees voorbereid en neem nu alvast maatregelen voor uw organisatie.

Bewustwording

Zorg ervoor dat uw beleidsmakers ruim voor 25 mei 2018 op de hoogte zijn van de nieuwe privacywet. Zij moeten nagaan welke impact de AVG zal hebben op uw huidige processen, diensten en goederen en welke aanpassingen noodzakelijk zijn om aan de AVG te voldoen. Zorg dat u voor 25 mei 2018 alles op orde heeft om eventuele boetes van de Autoriteit persoonsgegevens te voorkomen.

Rechten van betrokkenen

Personen waarvan u persoonsgegevens verwerkt, krijgen meer en verbeterde privacyrechten. Hierbij kunt u denken aan recht op inzage, recht op correctie en verwijdering en recht op dataportabiliteit. Bij dit laatste moet u ervoor zorgen dat de betrokkenen in staat worden gesteld hun gegevens makkelijk op te vragen. Ook is het van belang te weten dat betrokkenen het recht hebben om bezwaar te maken tegen de verwerking van hun gegevens voor direct-marketingdoeleinden.

Overzicht verwerkingen

U heeft als verwerker een documentatieplicht. Dit betekent dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Breng duidelijk in kaart welke persoonsgegevens u verwerkt, met welk doel, waar deze gegevens vandaan komen en met wie u deze gegevens deelt. Hierbij is het ook belangrijk dat u per gegevenscategorie vermeldt op basis van welke wettelijke grondslag u deze gegevens verwerkt.

Privacy impact assessment (PIA)

U kunt verplicht zijn om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en vervolgens maatregelen te nemen om mogelijke risico’s te verkleinen (privacy impact assesment (PIA)). Maak nu alvast een inschatting of u straks dergelijke PIA’s moet uitvoeren en hoe u dit gaat aanpakken.

Privacy by design & privacy by default

Er komen verplichte uitgangspunten van ‘privacy by design’ en ‘privacy by default’. Privacy by design betekent dat u tijdens de ontwikkeling van producten en diensten al rekening houdt met een goede privacybescherming door het toepassen van privacytechnieken. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor uw specifieke doel.

Functionaris voor de gegevensbescherming

Mogelijk is uw organisatie straks verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Ga nu alvast na of dit op uw organisatie van toepassing is. Zo kunt u tijdig zo’n functionaris werven.

Meldplicht datalekken

De meldplicht datalekken is binnen uw organisatie niet onbekend. Deze meldplicht blijft grotendeels gelijk. De AVG stelt wel strengere eisen aan uw eigen registratie van datalekken die zich binnen uw organisatie hebben voorgedaan. Het is bovendien belangrijk dat u alle datalekken correct documenteert, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan.

Bewerkersovereenkomsten

Onder de Wbp kennen we de verplichting tot het sluiten van een bewerkersovereenkomst. Ondanks de verplichting is dit nog niet in alle organisaties doorgevoerd. Vanaf 25 mei 2018 wordt de bewerkersovereenkomst hernoemd naar verwerkersovereenkomst. De verwerkersovereenkomst zal gelden voor de verhouding tussen de verantwoordelijke voor de persoonsgegevens en de partij die de persoonsgegevens voor hem verwerkt. Het is belangrijk dat u controleert of de bestaande overeenkomst(en) toereikend zijn en voldoen aan de vereisten van de AVG.

Betrek uw gehele organisatie

Het aanpassen van uw organisatie voor de AVG kost tijd en mankracht. Het doorvoeren van de maatregelen is niet eenvoudig, zeker als u hier nog niet mee begonnen bent. Het is belangrijk dat de gehele organisatie op de hoogte is van de aanstaande veranderingen op privacygebied. Zorg ervoor dat u op de hoogte bent van de regels van de AVG en informeer alle relevante afdelingen. Hiermee creëert u rust binnen uw organisatie en voorkomt u mogelijke sancties in de toekomst.

(Bron: ABAB)