Met de AVG geldt binnen de EU dezelfde privacywetgeving en voor alle organisaties die werken met persoonsgegevens. Dus ook kleine organisatie en ZZP’ers die gegevens van klanten of personeelsinformatie verwerken moeten zich voorbereiden op de AVG wetgeving. Met behulp van de 10 stappen van Autoriteit Persoonsgegevens (AP) doet u dit.
Stap 1: Bewustwording
Maak iedereen binnen uw organisatie die te maken heeft met persoonsgegevens bewust van hun aandeel en de impact van de Algemene Verordening (AVG). Ook de beleidsmakers en ontwikkelaars moeten de impact van de AVG op uw bedrijfsprocessen, diensten en goederen inschatten. En niet alleen omwille van de mogelijke sancties bij het niet voldoen aan de AVG.
Het is voor iedere organisatie belangrijk te zien dat aanpassingen in het omgaan met persoonsgegevens noodzakelijk zijn. Dit kost veel tijd van uw medewerkers en middelen; begin dus op tijd met de voorbereidingen.
Stap 2: Rechten van betrokkenen
Mensen waarvan u de persoonsgegevens verwerkt, krijgen meer en verbeterde privacy-rechten, denk aan recht op inzage en recht op correctie en verwijdering. De taak aan u om op tijd en op de juiste manier op de verzoeken te reageren.
Onder de AVG is er nieuw recht, dataportabiliteit. Dit houdt in dat betrokkenen makkelijk hun gegevens kunnen krijgen en delen met andere organisaties.
Bij het vermoeden van het onverantwoord omgaan met hun persoonsgegevens kunnen personen een klacht indienen bij de AP. De AP zal hierop onderzoeken of u een risicoanalyse en een plan van aanpak gemaakt hebt. En of u voldoende maatregelen heeft genomen om de data zeker te stellen.
Stap 3: Overzicht verwerkingen
Registratie is belangrijk in de AVG. Er is een verantwoordingsplicht en u moet aan kunnen tonen welke persoonsgegevens u verwerkt, met welk doel, waar de gegevens vandaan komen en met wie u ze deelt, in de vorm van een register van verwerkingsactiviteiten.
U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacy-rechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld. Niet nieuw in de AVG, maar wel belangrijk om te weten is de bepaling van de wettelijke grondslag waarop u de gegevens verwerkt. Gerechtigd belang of vraag u toestemming?
Stap 4: Data protection impact assessment
Data protection impact assessment (DPIA) is een instrument om vooraf de privacy-risico’s van gegevensverwerking in kaart te brengen om zo risico’s te verkleinen. Als uw (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, kunt u onder de AVG verplicht zijn om dit uit te voeren.
Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert en lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking niet in strijd is met de AVG en geeft een schriftelijk advies in geval van strijdigheid.
Stap 5: Privacy by design & privacy by default
Privacy by design houdt in dat u er al bij O&O fase voor zorgt dat persoonsgegevens goed worden beschermd. Maar ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:
o een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
o op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
o als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
o Emailgegevens niet automatisch voor een mail of nieuwsbrief te gebruiken zonder dat daar expliciet toestemming voor gegeven is
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kan het verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te nemen. Dit geldt voor:
• Overheden en publieke organisaties
• Organisaties die op grote schaal individuen volgen
• Organisatie die bijzondere persoonsgegevens verwerken
Bepaal alvast of u een FG moet aannemen. Hier leest u er meer over.
Stap 7: Meldplicht datalekken
In de AVG worden strengere eisen gesteld aan uw eigen registratie van de datalekken. Zo moeten alle datalekken worden gedocumenteerd om de Autoriteit Persoonsgegevens (AP) te tonen dat u aan de meldplicht voldoet.
Stap 8: Bewerkersovereenkomsten
Besteed u de gegevensverwerking uit aan een bewerker, bijvoorbeeld een administratiekantoor? Check of de overeenkomsten met deze partijen nog toereikend zijn en voldoen aan de AVG. Zo niet, breng noodzakelijke wijzigingen aan.
Stap 9: Leidende toezichthouder
Onder de AVG geldt nog maar één privacy toezichthouder, de leidende toezichthouder. Dit geldt in het geval u nog meer vestigingen heeft in meerdere EU-lidstaten. De hoofdregel hierin is dat de toezichthouder van de EU-lidstaat, waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.
Stap 10: Toestemming
De manier van toestemming vragen, krijgen en registreren is gewenst in de AVG en de eisen hiervoor zijn strenger. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
In een Information Security Management System (ISMS) kunnen beleid, doelstellingen, maatregelen en KPI’s worden vastgelegd, door een auditplan wordt gemonitord. U heeft ons al gevonden, we kunnen nu alleen nog een kop koffie en een luisterend oor aanbieden.