Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De AVG wordt in Europa aangeduid met General Data Protection Regulation (GDPR).
In mei 2016 is de wet in werking getreden. Tot 25 mei 2018 krijgen organisaties de tijd om hun bedrijfsvoering daarop aan te passen.
In dit artikel enkele items waar je zeker op moet letten en waarschijnlijk actie op moet ondernemen.
Bewustwording
De nieuwe privacyregels hebben nogal wat impact op de bedrijfsvoering. Zorg ervoor dat een aantal mensen in jouw organisatie goed op de hoogte zijn en de regels in het bedrijfsproces kunnen integreren. Zodra de AVG van kracht is zal het hele bedrijf op de hoogte moeten zijn van de nieuwe Europese privacyregels en hoe te handelen bij de verwerking van persoonsgegevens en bij bijvoorbeeld een datalek.
Begrip ‘persoonsgegevens’ ge-update
Het begrip ‘persoonsgegevens’ is gewijzigd en omvat nu meer kenmerken; ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’.
Wat wil dit zeggen? Dat een persoon met behulp van een (online) identificator geïdentificeerd kan worden, of geïsoleerd kan worden uit een groep (‘single-out’). Een identificator is bijvoorbeeld een naam of kenteken, maar ook een online nickname of een IP-adres (en deze wordt meestal automatisch in webformulieren vastgelegd).
Recht van betrokkenen
De rechten van de personen waarvan je de persoonsgegevens verwerkt zijn uitgebreider en verbeterd. Denk aan het recht op inzage, het recht op correctie en verwijdering. Een nieuw recht is dat van dataportabiliteit, waarbij de persoonsgegevens in het juiste formaat doorgegeven moeten kunnen worden aan een andere organisatie.
Overzicht verwerkingen
Onder de nieuwe AVG is er een verantwoordingsplicht. Je dient daarbij vast te leggen welke gegevensverwerkingen worden gedaan, waar de gegevens vandaan komen en met wie je ze deelt.
Vermeld ook per categorie waarom je iets vastlegt, met welk doel, voor hoelang en op welke wettelijke grondslag. Geef ook een algemene beschrijving van de beveiligingsmaatregelen.
Het verwerkingsregister geldt voor organisaties met meer dan 250 werknemers of voor organisaties die risicovolle verwerkingen doen.
Daarnaast is het register ook vereist voor alle verwerkingen die niet incidenteel van aard zijn, en dát zorgt ervoor dat veel organisaties (lees: MKB-ers en ZZP-ers) hier dan ook aan moeten voldoen.
Privacy by design en privacy by default
2 begrippen die heel duidelijk de nieuwe AVG typeren:
Privacy by design houdt in dat bij het ontwerpen van een product of dienst al rekening wordt gehouden dat de persoonsgegevens goed worden beschermd.
Voorbeeld: heb je een website waar bezoekers gegevens kunnen invullen op een formulier, die waarschijnlijk persoonlijk zijn (e-mailadres, IP-nummer, NAW-gegevens), dan zul je dat goed moeten beschermen. Bijvoorbeeld door je site te voorzien van een SSL-certificaat, zodat de communicatie over https verloopt (=versleuteld).
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Voorbeeld: op de site ‘Ja, ik wil de nieuwsbrief’ niet standaard aanvinken. En voor die nieuwsbrief mag je niet méér gegevens vragen dan strikt noodzakelijk is.
Meldplicht datalekken
Deze bestaat nu ook al onder de Wbp en blijft grotendeels hetzelfde. De eigen registratie kent wel strengere eisen. Alle datalekken moeten gedocumenteerd worden zodat de AP deze kan controleren.
Datalekken zijn o.a. een gehackte website, een kwijt geraakte smartphone of USB stick met persoonsgegevens, die in handen van derden kan komen, of een geprinte lijst met klantgegevens die is gestolen.
Verwerkersovereenkomst
De bewerkersovereenkomst (uit de WBP) wordt een verwerkersovereenkomst (AVG)
De regels omtrent gegevensverwerking, die is uitbesteed aan een verwerker, zijn strenger. Check de huidige bewerkersovereenkomst en breng eventueel wijzigingen aan.
Wat moet er zoal vastgelegd worden? Het onderwerp en de duur van de verwerking, maar ook de aard en het doel, de soort persoonsgegevens, de categorieën van betrokkenen en de rechten en plichten van de verwerker moeten duidelijk omschreven worden in verwerkersafspraken.
Toestemming
De huidige gegevensverwerking kan gebaseerd zijn op de toestemming van betrokkenen. De nieuwe AVG stelt strengere eisen. Check dus de huidige toestemmingen en pas waar nodig aan.
Dit houdt eventueel ook opnieuw toestemming vragen in.
Je moet nu ook kunnen aantonen dat er een geldige toestemming is om persoonsgegevens te verwerken. De toestemming moet in eenvoudige bewoordingen worden getoond. Vraag je toestemming voor meerdere doeleinden, vraag dan apart toestemming voor elk doel.
Voorbeeld: een inschrijving op je nieuwsbrief. Het moet duidelijk zijn wanneer die toestemming is gegeven, waarvoor en waar (waar op je website is de toestemming gegeven?).
Check hoe de toestemming wordt vastgelegd, zodat je kunt bewijzen dat er rechtmatig toestemming is verkregen.
Meer lezen?
Dit is slechts een deel van de onderwerpen die de nieuwe AVG vormen, een kompleet en overzichtelijk geheel van alle 99 wetsartikelen inclusief verwijzingen naar de gronden vind je op: privacy-regulation.eu
Wil je meer lezen, kijk dan op de site van de Autoriteit Persoonsgegevens (AP) en download de pdf