Ben jij al klaar voor de AVG?

Je hebt nog maar tot 25 mei 2018

In 2018 maakt de Wet bescherming persoonsgegevens (Wbp) definitief plaats voor de Algemene Verordening Gegevensbescherming (AVG). Vanaf dat moment geldt in de hele EU dezelfde wetgeving met betrekking tot privacy en de omgang met persoonsgegevens. Hoe kun je nu in een paar stappen aan de slag?

De Algemene Verordening Gegevensbescherming (AVG) staat in het Engels bekend als de General Data Protection Regulation (GDPR). Hij is in het voorjaar van 2016 in werking getreden, maar bedrijven hebben nog tot 25 mei 2018 de tijd om aan alle regels en onderdelen in de verordening te voldoen.

De AVG heeft grote gevolgen voor alle partijen die persoonsgegevens beheren en verwerken. De verordening is bijvoorbeeld strenger dan de nu nog geldende Nederlandse privacywetgeving. Bij de huidige wetgeving moet bijvoorbeeld sprake zijn van opzet of grove schuld voordat een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP) en voordat dit orgaan boetes mag uitdelen. Die opzetclausule vervalt. Je moet voortaan altijd melding maken van een datalek. Doe je dat niet, dan krijg je een forse boete.  Ook wordt het onder bepaalde omstandigheden verplicht een data protection impact assessment uit te voeren. 

Meer zeggenschap voor burgers

Het idee achter de AVG is dat burgers veel meer zeggenschap krijgen over hun gegevens en wat bedrijven daarmee doen. Je moet dus duidelijk maken waarom je bepaalde (persoons)gegevens vraagt en waar je die voor gebruikt. Gebruikers kunnen ook gemakkelijker inzage vragen in opgeslagen data, toestemming intrekken, klachten indienen en gebruikmaken van het recht om vergeten te worden. Nieuw is bovendien het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens. Hiermee hebben burgers het recht om de persoonsgegevens te ontvangen die een organisatie van ze heeft en om te weten met welke organisaties deze gegevens gedeeld zijn.

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Die houdt in dat bedrijven en overheden direct aan de bel moeten trekken als ze een ernstig datalek hebben. Ook moeten ze het datalek melden aan betrokkenen van wie persoonsgegevens zijn gelekt.

Welke voorbereidingen moet je treffen?

Elk bedrijf dat persoonsgegevens van EU-ingezetenen verwerkt (dus ook internationale bedrijven die alleen zaken doen met Europa), moet een op maat gemaakte strategie ontwikkelen die gebaseerd is op onder andere de grootte van de organisatie, de hoeveelheid en soort gegevens waarmee ze werkt en de huidige maatregelen die genomen zijn op het gebied van beveiliging en privacy. 
Daarnaast dien je binnen het bedrijf bewustwording te creëren over de nieuwe privacyregels en welke invloed die hebben op je huidige processen en de diensten en goederen die je levert. Zo moet iedereen weten van wie persoonsgegevens worden verwerkt en dat klanten meer en verbeterde privacyrechten krijgen en wat die inhouden.

Verder moet je documenteren welke persoonsgegevens je bedrijf verwerkt, met welk doel, waar data vandaan komen en met wie je deze deelt. Beveiliging is topprioriteit. Het advies is daarom om gegevens op één, zeer goed beveiligde, plek op te slaan om het geheel beheersbaar te maken.
Verwijder nu ook alvast oude en overtollige data en controleer wie waar toegang tot heeft. Controleer ook de overeenkomsten van leveranciers; voldoen die nog aan de vereisten in de AVG? Vanaf het moment dat de AVG definitief in werking treedt, moet elk bedrijf kunnen aantonen dat het in overeenstemming met de verordening handelt.
Het is slim om bij dit hele traject de hulp van een jurist in de roepen!

Functionaris gegevensbescherming

Sommige organisaties, afhankelijk van de manier waarop ze gegevens verwerken, zijn straks verplicht een functionaris gegevensbescherming (FG) aan te stellen, oftewel een Data Protection Officer (DPO). Dit geldt met name voor bedrijven die op grote schaal bepaalde soorten gegevens verwerken of persoonsgegevens bijhouden voor bijvoorbeeld persoonsgerichte online advertenties. Deze FG is verantwoordelijk voor de meldplicht en treedt onafhankelijk op. Hij of zij kan door deze functie minder makkelijk ontslagen worden. Bedenk nu alvast wie van je medewerkers de rol van FG op zich neemt. 

Breng gegevens in kaart

Voor de ACG helemaal in werking treedt is het raadzaam goed in kaart te brengen welke maatregelen nodig zijn om te voldoen aan de AVG. Maak met een tijdsplanning inzichtelijk welke acties wanneer nodig zijn en hoeveel tijd en budget daarvoor vrijgemaakt moet worden.

Stappenplan AVG

Ben je al bezig met maatregelen om te voldoen aan de nieuwe wetgeving of moet je nog beginnen? Dit stappenplan helpt je (verder) op weg. 

  1. Breng je huidige gegevens in kaart
    Kijk goed welke persoonsgegevens van je klanten jij en externe partijen zoal hebben en hoe die gebruikt worden. Kijk vervolgens of deze manier van verwerken al dan niet voldoen aan de nieuwe regelgeving en zo niet, welke aanpassingen nodig zijn. 
     
  2. Maak een databeschermingsplan
    Alle organisaties zijn vanaf 2018 verplicht een gegevensbeschermingsplan te implementeren. Mogelijk moet je het bestaande beleid voor gegevensbescherming aanpassen en je medewerkers trainen. 
     
  3. Zorg voor juridisch houvast
    Kijk of je manier van gegevens verzamelen en gebruiken juridisch in de haak is (vraag het een jurist!). Zo moet heel duidelijk zijn waarvoor bezoekers en klanten precies toestemming geven als ze jou toestemming geven om hun gegevens te gebruiken. Let er ook op dat het duidelijk is dat ze die toestemming geven.  Vermeld tenslotte waar men terecht kan met eventuele klachten. 
     
  4. Pas vanaf nu privacy by design toe
    Zodra de AVG in werking is, is elk bedrijf verplicht aandacht te besteden aan gegevensbescherming. Ontwikkel je nieuwe processen, producten of diensten, verwerk privacybescherming dan al in het ontwerp. Privacy by design dus.  
     
  5. Stel protocollen op voor het managen van datalekken
    Een datalek moet je straks verplicht melden, hoe het ook tot stand is gekomen en hoe groot of hoe klein de schade ook is. Roep hiervoor alvast een protocol in het leven waarin precies staat wie op de hoogte moet worden gebracht, wanneer dit gebeurt en wie er verantwoordelijk voor is. Ook als je wel meldt maar de melding niet correct is, loop je namelijk kans op een boete. 
     
  6. Let op het hele traject
    De AVG geldt voor de beveiliging van gegevens gedurende het hele traject dat deze gegevens binnen je organisatie of namens je organisatie doorlopen. Dus ook voor partijen die namens jouw bedrijf persoonsgegevens opslaan, verwerken en/of gebruiken. Let er daarom op dat je leveranciers voldoen aan de AVG. Bekijk of zij voldoen aan de hoogste eisen met betrekking tot beveiliging, ervaring hebben met grootschalige gegevensbeveiliging en tools hebben om gegevens beter te beheren en risico’s op datalekken te beperken. Controleer daarnaast of je serviceprovider aan internationale standaarden voor gegevensbeveiliging voldoet, zoals de norm ISO 27018. Vraag je provider naar zijn netwerk- en informatiebeveiliging (bijvoorbeeld versleuteling en toegangsbeheer op applicatieniveau), beveiligingsbeleid, training en risicoanalyses en testmaatregelen. Jij bent verantwoordelijk voor de gegevens die namens jou worden verzameld!

Welk risico loop je als je niets of te weinig met de AVG doet?

De nieuwe Algemene Verordening Gegevensbescherming is de grootste wetswijziging op het gebied van databescherming in twee decennia. Bij overtredingen mag de AP vanaf 25 mei 2018 boetes tot maar liefst 4 procent van de jaaromzet of 20 miljoen euro uitdelen. 

 

Artikel geplaatst op: 20 februari 2018 - 13:27

Gerelateerd

Delen