Het aftellen is begonnen: vanaf vandaag zal een klok op onze website de dagen tot de inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG”) aangeven. Nog een jaar tot ook uw bedrijf klaar moet zijn voor de aangescherpte privacy en gegevensbescherming wetgeving vanuit Brussel.
Inmiddels is voor veel bedrijven duidelijk geworden dat er iets gaat veranderen op het gebied van privacy en dat dit actie vereist. Wat er precies gaat veranderen en welke specifieke acties dit vereist, blijkt soms nog onduidelijk te zijn. Er zijn over dit onderwerp in de afgelopen maanden verschillende stappenplannen en checklists gepubliceerd. Zo heeft de Autoriteit Persoonsgegevens een 10-stappenplan ontwikkeld ter voorbereiding op de nieuwe wetgeving en heeft ook het Ministerie van Justitie en Veiligheid de vernieuwde ‘spelregels’ uiteengezet. De grootste aandachtspunten bij de voorbereiding op de AVG worden hieronder toegelicht.
Zet privacy en gegevensbescherming op de kaart door de ontwikkelingen op het gebied van privacy bij de juiste personen binnen uw bedrijf onder de aandacht te brengen.
De AVG vereist dat bedrijven een register bijhouden met de persoonsgegevens die ze verwerken. Breng helder in kaart welke persoonsgegevens er worden verzameld, waar deze worden verwerkt en voor welk doel dit wordt gedaan. Persoonsgegevens verwerken betekent een documentatieplicht: u moet kunnen aantonen dat de zaken op orde zijn.
Breng bij het ontwikkelen van nieuwe toepassingen met de verwerking van persoonsgegevens van tevoren in kaart waar de risico’s zich bevinden. Dit stelt u in staat maatregelen te treffen en risico’s te verkleinen. Soms is het zelfs verplicht om een zogeheten gegevensverwerkingeffectbeoordeling (ook wel PIA: Privacy Impact Assessment genoemd) uit te voeren. Hiervan is bijvoorbeeld sprake bij verwerkingen met een hoog privacy risico, bij het verwerken op grote schaal van bijzondere persoonsgegevens of bij stelselmatig monitoren.
De AVG vraagt bedrijven om bij het ontwikkelen van nieuwe toepassingen door een privacy bril te kijken:
In bepaalde gevallen is het verplicht om iemand aan te stellen die onafhankelijk advies geeft en toezicht houdt op de naleving van privacyregelgeving. Ook indien dit niet verplicht is, kan een functionaris gegevensbescherming (of DPO) zeer handig zijn.
Ga na of uw huidige contracten, met bijvoorbeeld verwerkers, nog voldoen aan de aangescherpte eisen onder de AVG.
De informatie die u verschaft in bijvoorbeeld een privacyverklaring over de verwerking van persoonsgegevens moet duidelijk, begrijpelijk en gemakkelijk toegankelijk zijn. Dit stelt het individu in staat weloverwogen keuzes te maken met betrekking tot zijn persoonsgegevens.
De persoon op wie de persoonsgegevens die u verwerkt betrekking heeft, had op grond van huidige wetgeving al bepaalde privacy rechten. Denk hierbij aan het recht op inzage of correctie. De AVG behoudt deze rechten en introduceert daarbij nieuwe, zoals het recht om vergeten te worden en het recht op dataportabiliteit. Het is aan u om de uitoefening van deze rechten te faciliteren.
Controleer of de verkregen toestemming voor de verwerking van persoonsgegevens nog voldoet aan de strengere eisen onder de AVG. Kunt u daarbij aantonen dat deze toestemming is verkregen? En is het geven van toestemming net zo makkelijk als het intrekken daarvan?
Inhoudelijk verandert de komst van de AVG op dit gebied weinig. Wel is het vereist om alle datalekken te registeren en daarmee aantoonbaar te maken aan bijvoorbeeld de toezichthouder.
De aangescherpte eisen moeten het individu meer controle geven over zijn persoonsgegevens en dit legt meer verantwoordelijkheid bij u en uw bedrijf. Een goede voorbereiding is daarmee aan te raden. Laat het aftellen beginnen!
Voor meer informatie over de komst van de AVG, neem contact op met Considerati.