Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG stelt veel meer eisen aan ondernemers over de verwerking van persoonsgegevens. Hier zetten we die op een rijtje.



In mei 2016 is de AVG gepubliceerd en in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing. Deze periode van twee jaar was nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Tot 25 mei geldt in Nederland nog de Wbp. De AVG zorgt onder meer voor: - versterking en uitbreiding van privacyrechten - meer verantwoordelijkheden voor organisaties - dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

ACHTERGROND AVG

De AVG moet een vrij gegevensverkeer binnen de digitale interne markt van de EU mogelijk maken. Daarbij moeten de nieuwe regels de privacy van Europeanen beter gaan beschermen en tegelijkertijd kansen bieden op de digitale interne markt voor bedrijven en vooral de kleinere bedrijven. Dezelfde regels zullen gelden in alle lidstaten van de EU en zullen ook van toepassing zijn op bedrijven die zich begeven op de digitale interne EU-markt, maar daarbuiten zijn gevestigd. De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Zij moeten die data goed beveiligen via technische en organisatorische maatregelen. Gevoelige informatie mag niet voor iedereen toegankelijk zijn binnen het bedrijf. Een organisatie moet vastleggen wie gerechtigd is om bij welke informatie te komen.

WAT KAN IK DOEN?

U krijgt als organisatie dus meer verplichtingen. De nadruk ligt op uw verantwoordelijkheid om te kunnen aantonen dat u zich aan de wet houdt. Dat vergt een gedegen voorbereiding. Als u dat als organisatie nog niet gedaan heeft, wordt het nu wel tijd om daar nu mee te beginnen. Om u hierbij te helpen, heeft de Autoriteit Persoonsgegevens (AP) de tien belangrijkste stappen voor u op een rijtje gezet, zie hun website. Ook heeft de AP de interactieve tool ‘de AVG-regelhulp’ ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken. Verder biedt de website van de AP antwoord op veelgestelde vragen. Mocht u er intern niet uitkomen, dan kunt u vanaf mei een beroep doen op de piketregeling en -nummer van de AP dat dan dag en nacht bereikbaar is in geval van urgentie. Hieronder volgen de zeven belangrijkste stappen voor ondernemers om aan de AVG te voldoen.

Stap 1: Bewustwording

Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten welke aanpassingen nodig zijn om aan de AVG te voldoen. Vervolgens moeten die aanpassingen planmatig en volledig worden uitgevoerd.

Stap 2: Rechten van betrokkenen

Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. U moet in eenvoudige taal precies en volledig uitleggen wat u met de persoonlijke gegevens doet en de mensen wijzen op hun rechten. Uw medewerkers kunnen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Stap 3: Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht: u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van Ondernemers moeten aan meer verplichtingen voldoende verantwoordingsplicht. In het register moet onder meer staan welke persoonsgegevens u verwerkt, voor welke doeleinden en hoe deze beveiligd worden. U mag niet meer gegevens verzamelen dan noodzakelijk voor het doel van de verwerking. En u mag de gegevens niet langer bewaren dan nodig. Anders gezegd: u moet actief informatie weggooien als deze niet meer relevant is en beleid hebben opgesteld over wanneer iets wel of niet relevant is.

Stap 4: Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. 

Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Stap 5: Verwerkersovereenkomsten

Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Stap 6: Toestemming

Voor sommige gegevensverwerkingen hebt u toestemming nodig van de medewerkers. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Stap 7: Beveiliging op orde

De beveiliging van persoonsgegevens moet op orde zijn en blijven. Dat betekent dat toegang en verwerking van die gegevens strikt geregeld moet zijn en met geëigende methoden is beveiligd, zoals encryptie en tweefactorauthenticatie. Ook zullen de ICT-systemen regelmatig moeten worden onderzocht op nieuwe risico’s.

Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of vier procent van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.