14 februari 2018

Implementatie privacyregels AVG

Categorie: Privacyrecht

Vanaf 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking.
Dat heeft grote gevolgen voor organisaties die persoonsgegevens verwerken. Boetes kunnen oplopen tot 20 miljoen of zelfs 4% van de jaaromzet.
Op de website van de Autoriteit Persoonsgegevens staat een duidelijk stappenplan voor de implementatie van de privacyregels van de AVG.
Dat stappenplan voor de implementatie van de privacyregels van de Autoriteit Persoonsgegevens vindt u hier: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf.
Als privacy advocaat bespreek ik dat stappenplan in deze blog.

Stap 1 – Bewustwording t.a.v. privacy – implementatie van privacyregels

Zorg dat de relevante mensen (zoals beleidsmakers) binnen uw organisatie op de hoogte zijn van de wijzigingen en maak hen bewust van de impact die deze wijzigingen zullen hebben op uw organisatie. Breng vervolgens in kaart wat de benodigde menskracht en middelen zijn voor de implementatie van de privacyregels.

Stap 2 – Toestemming voor verwerken persoonsgegevens

De AVG stelt strengere eisen aan de toestemming van een persoon voor het verwerken van zijn persoonsgegevens.
De toestemming moet onder meer vrij, specifiek, ondubbelzinnig en actief zijn.
Zorg er daarom voor dat die toestemming goed wordt gegeven.
U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken.

Stap 3 – Privacyrechten van betrokkenen

De privacy van personen wordt onder de AVG beter beschermd. Onder de AVG krijgen mensen van wie u persoonsgegevens verwerkt meer privacyrechten.
U moet er daarom goed voor zorgen dat hun privacyrechten goed kunnen blijven uitoefenen. Denk daarbij aan het recht op inzage en het recht op correctie en verwijderen.

Stap 4 – Data protection impact assessment

Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens om maatregelen te nemen om de risico’s te verkleinen. U moet zo’n DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

Stap 5 – Overzicht verwerkingen persoonsgegevens – register van verwerkingsactiviteiten

Onder de AVG geldt een documentatieplicht. Dit houdt in dat u te allen tijde moet kunnen aantonen welke persoonsgegevens u voor welke duur gaat bewaren en op basis van welke wettelijke grondslag u persoonsgegevens verwerkt.
Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Stap 6 – Meldplicht datalekken

Datalekken is het tekortschieten van de beveiliging waardoor persoonsgegevens onbedoeld worden verstrekt aan een andere partij.
De AVG stelt strenge eisen aan de registratie van datalekken. Alle datalekken moeten worden gedocumenteerd.
Met deze documenten moet kunnen worden gecontroleerd of u aan de meldplicht heeft voldaan.

Stap 7 – Privacy by design & privacy by default

Privacy by design houdt in dat al bij het ontwerpen van de producten en diensten ervoor wordt gezorgd dat persoonsgegevens voldoende worden beschermd.
Privacy by default houdt in dat er eerst technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die nodig zijn voor het doel.

Stap 8 – Verwerkersovereenkomsten

Schakelt u derden in voor bijvoorbeeld het beheer van uw database?
Dan maakt u gebruik van een verwerker en gelden extra regels.
De afspraken met uw verwerker moeten worden vastgelegd in een zogenaamde “verwerkersovereenkomst.”
U moet beoordelen of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn.

Stap 9 – Leidende toezichthouder privacy

Indien uw organisatie meerdere vestigingen heeft in meerdere EU-lidstaten, dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te houden.
Dat wordt de leidende toezichthouder genoemd.

Stap 10 – Functionaris voor de gegevensbescherming

Voor organisaties met meer dan 250 personen in dienst en voor organisaties die ‘bijzondere persoonsgegevens” verwerken gelden extra eisen. Bij bijzondere persoonsgegevens kunt u denken aan medische gegevens van een persoon. Een organisatie met meer dan 250 personen in dienst is verplicht een Functionaris Gegevensbescherming (FG) aan te wijzen. De FG heeft als taak om de werknemers die persoonsgegevens verwerken te informeren en te adviseren over hun verplichtingen uit hoofde van de AVG en toe te zien op de naleving van de AVG.

Privacydesk van Blenheim Advocaten

Bel Blenheim Advocaten en vraag naar de privacydesk.
Deze privacy advocaten kunnen u adviseren over de verplichtingen die op u rusten en te nemen maatregelen zodat uw organisatie compliant is.