Op 25 mei 2018 zal de huidige Nederlandse Wet Bescherming Persoonsgegevens (WBP) worden vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). Op dit moment zijn er nog 28 verschillende wetgevingen maar vanaf dan zal er nog maar één wetgeving gelden.
Organisaties of bedrijven die persoonsgegevens verwerken zullen meer verplichtingen krijgen. Zij moeten kunnen aantonen dat zij zich aan de wet houden.
Wat gaat er nou eigenlijk veranderen?
Simpel gezegd worden de gegevens van de burger die online zijn opgeslagen nog beter beveiligd. De burger krijgt meer privacy rechten en de rechten die al bestaan worden sterker.
Zodra de nieuwe wet ingaat moet de burger akkoord geven voor het vastleggen van data en er moet zeer specifiek worden omschreven wat er wordt vastgelegd en waarom dit is.
Daarnaast moet de burger in kwestie zijn opgeslagen data makkelijk terug kunnen vinden.
Als bedrijven en organisaties zich niet aan de nieuwe wetgeving houden dan kunnen er grote gevolgen zijn. Er kunnen hoge boetes worden opgelegd tot een bedrag van €20.000.000,- of 4% van de omzet die een organisatie of bedrijf produceert.
Ook kan de Autoriteit Persoonsgegevens (AP) ervoor zorgen dat certificeringen en kwalificaties worden ingetrokken van de desbetreffende organisaties of bedrijven.
Hoe kun je jouw bedrijf of organisatie voorbereiden op de nieuwe wetgeving?
- Inzicht en bewustwording
Het is belangrijk dat alle personen binnen uw organisatie op de hoogte zijn van de nieuwe wet zodat iedereen zich kan voorbereiden. - Rechten van betrokkenen
Personen van wie de organisaties of bedrijven persoonsgegeven verwerken krijgen meer en verbeterde privacy rechten. Het is erg belangrijk dat zij hun rechten goed kunnen uitoefenen.
Hierbij kun je denken aan het recht op inzage en op correctie en verwijdering. Maar vergeet ook niet rekening te houden met nieuwe rechten. Men moet makkelijk de gegevens kunnen inzien en deze door kunnen geven aan andere organisaties of bedrijven. - Overzicht verwerking
Breng de verwerking van de gegevens in kaart. Documenteer welke persoonsgegevens verwerkt worden en waarom dat is, waar de gegevens vandaan komen en met wie ze worden gedeeld.De nieuwe wet brengt een documentatieplicht met zich mee. Dit houdt in dat er aangetoond moet kunnen worden dat organisaties en bedrijven zich houden aan de AVG.Documentatie zou ook nodig kunnen zijn als personen hun privacy rechten gebruiken. Mocht er gevraagd worden de gegevens te corrigeren of te verwijderen dan moet dit doorgegeven kunnen worden aan de organisaties en bedrijven waarmee de gegevens zijn gedeeld.Per categorie moet er ook worden vermeld op basis van welke wettelijke grondslag deze gegevens worden verwerkt. - Data Privacy Impact Assessment (PIA)
Mocht u gegevens met een hoog privacy risico verwerken dan moet je een PIA uitvoeren. Breng vooraf de risico’s van gegevensbescherming in kaart waarmee maatregelingen kunnen worden getroffen om risico’s te verkleinen.Als een organisatie of bedrijf moeite heeft om maatregelen te vinden om risico’s te beperken dan is het nodig om met de Autoriteit Persoonsgegevens contact op te nemen. Zij kunnen adviseren en beoordelen of maatregelen in strijd zijn met de AVG. - Privacy by Design en Privacy by Default
Privacy by Design en Default houdt in dat er bij het ontwerpen van producten en diensten al voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Het is dus erg belangrijk dat websites veilig zijn voor de data die wordt opgeslagen. - Is jouw bedrijf of organisatie verplicht om een Functionaris voor gegevensbescherming aan te stellen?
Onder de nieuwe wetgeving kun je worden verplicht om een functionaris voor gegevensbescherming aan te stellen. Het is dus van groot belang om te controleren of jouw organisatie of bedrijf hier aan moet voldoen. - Meldplicht datalekken
Op dit moment is er al een meldplicht voor datalekken. Deze blijft onder de AVG voor een groot deel hetzelfde. Er zullen wel strengere eisen worden gesteld aan registratie in de organisatie van de datalekken die zich hebben voorgedaan.Alle lekken moeten worden gedocumenteerd. Aan de hand hiervan moet het voor de AP mogelijk zijn om te controleren of de organisatie of het bedrijf zich aan de meldplicht heeft gehouden. - Bewerkersovereenkomsten
Als de gegevensverwerking uitbesteed wordt aan een verwerker dan moet worden beoordeeld of de overeengekomen maatregelen in bestaande contracten met de verwerkers nog steeds voldoen aan de vereisten van de AVG. Mocht dit niet het geval zijn dan moeten tijdig wijzigingen worden aangebracht. - Leidende toezichthouder
Mocht een bedrijf of organisatie meerdere vestigingen hebben in verschillende EU-lidstaten, dan heeft de organisatie onder de AVG vanaf de besproken datum volgend jaar nog maar met één privacy toezichthouder te maken. Dit wordt dan de leidende toezichthouder genoemd. - Toestemming
Voor sommige gegevensverwerkingen is toestemming nodig van de betrokkenen. De AVG gaat strengere eisen stellen aan toestemming. Bespreek daarom de manier waarop nu toestemming wordt gevraagd, gekregen en geregistreerd. Indien nodig moet deze werkwijze worden aangepast. Er moet kunnen worden aangetoond dat er geldige toestemming is verkregen om persoonsgegevens te verwerken. Ook moet het net zo makkelijk zijn om de toestemming weer in te kunnen trekken nadat die is gegeven.
Tot slot
Op dit moment is het van groot belang om na te gaan of jouw bedrijf of organisatie al voldoet aan de eisen van de AVG. De verantwoordelijkheid ligt bij jou en het is noodzaak om je optimaal voor te bereiden op de komst van deze wet.