Hoewel de Algemene Verordening Gegevensbescherming (AVG) pas volgend jaar ingaat is het nu al erg belangrijk om je zaken op orde te hebben. Organisaties die met persoonsgegevens werken krijgen namelijk meer verplichtingen en verantwoordelijkheden, en wie niet aan de eisen voldoet kan een flinke boete verwachten.
Welke stappen moet een organisatie nemen om aan de AVG te voldoen? Hier een stappenplan van de Autoriteit Persoonsgegevens (AP).
1. Bewustwording
Bewustwording is de eerste stap en begint met het onder de aandacht brengen van de nieuwe privacywetgeving bij relevant personeel. Denk daarbij onder anderen aan beleidsmakers, IT-managers en bedrijfsjuristen. Zij moeten namelijk een inschatting maken van de tijd en middelen die nodig zijn om aan de AVG te voldoen. Het is dus zaak om deze medewerkers op de hoogte te brengen van de veranderingen.
2. Rechten van betrokkenen
Bij de nieuwe privacywetgeving krijgen klanten meer rechten. Ze mogen bijvoorbeeld hun gegevens inzien, laten verwijderen en laten doorsturen naar andere organisaties. Deze rechten en plichten moet je als organisatie in acht nemen. Het is dus essentieel om er vroegtijdig voor te zorgen dat je je klanten daarin tegemoet kan komen.
3. Overzicht verwerkingen
De derde stap is het in kaart brengen van de gegevens die je verwerkt. Dit zorgt voor een overzicht waarin inzichtelijk wordt welke data je in huis hebt en hoe je die moet classificeren. Zo kun je bepaalde beveiligingsniveaus toekennen en beveilig je algemene informatie niet met dezelfde intensiteit als privacygevoelige data.
4. Privacy Impact Assessment (PIA)
Een Privacy Impact Assessment is een analyse van de privacyrisico’s bij het verwerken van gegevens. De AP kan organisaties verplichten deze uit te voeren in het geval van hoge risico’s. Op basis van de resultaten van de PIA moet je dan maatregelen nemen om de risico’s te verkleinen. Zorg er dus op tijd voor dat je weet of je in aanmerking komt voor een PIA.
5. Privacy by Design & by Privacy by Default
Privacy by Design houdt in dat er al in het ontwerpproces van producten en diensten nagedacht moet worden over de privacy. Als dit namelijk achteraf gebeurt kan het zijn dat het ontwerp niet waterdicht is. Privacy by Default betekent dat er technische en organisatorische maatregelen genomen moeten worden die garanderen dat persoonsgegevens alleen verwerkt worden indien het noodzakelijk is voor de dienstverlening. Je moet als organisatie nagaan of je aan deze richtlijnen voldoet.
6. Functionaris voor de Gegevensbescherming
De AVG verplicht bepaalde organisaties ook om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dit is een deskundige die zich puur op de toepassing en naleving van de AVG richt. Overheidsinstanties en publieke organisaties zijn verplicht om een FG aan te stellen, maar particuliere bedrijven die veel persoonsgegevens verwerken zullen ook in aanmerking komen. Je moet dus vroegtijdig bepalen of je een FG nodig hebt zodat je niet voor onverwacht personeelstekort komt te staan.
7. Meldplicht Datalekken
De Meldplicht Datalekken is al op 1 januari 2016 van kracht gegaan en blijft grotendeels hetzelfde. Het enige wat verandert is dat datalekken nu op zo’n manier gemeld moeten worden dat de AP kan zien wat je eraan gedaan hebt ter preventie. Dit vereist dus een zorgvuldigere aanpak bij het beveiligen van data en het documenteren van datalekken.
8. Bewerkersovereenkomsten
Bij outsourcing van gegevensverwerking of dataopslag is het erg belangrijk om te controleren of de beveiliging daarvan toereikend is aan de AVG. Zo niet dan moeten er maatregelen genomen worden en is het verstandig om contractwijzigingen door te voeren. Hier kan een lange tijd overheen gaan dus begin er vroeg aan.
9. Leidende toezichthouder
Wanneer je als organisatie internationaal opereert val je maar onder één privacytoezichthouder, de leidende toezichthouder. Dit is de autoriteit van de EU-lidstaat waarin het hoofdkantoor van je organisatie gevestigd is. Zorg er dus voor dat je weet onder welke leidende toezichthouder je organisatie valt zodat je het overzicht behoudt.
10. Toestemming
Voor bepaalde vormen van gegevensbescherming heb je toestemming nodig van betrokkenen, en de AVG stelt strengere eisen aan de manier waarop je toestemming vraagt. Het moet namelijk aantoonbaar zijn dat betrokkenen die toestemming net zo makkelijk kunnen intrekken als geven. Heroverweeg dus de manier waarop je toestemming vraagt aan betrokkenen en pas het zo nodig aan.