Op 25 mei 2018 a.s. is de nieuwe wet Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat is al over een paar weken. Het leek me daarom handig om hier wat aandacht aan te besteden in een blog, omdat dit veel organisaties gaat treffen.
De privacywet AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Deze wet geldt dan voor de gehele EU. Met deze wet worden er strengere eisen gesteld aan een ieder die met persoonsgegevens werkt (dus een betere beveiliging hiervan). Deze nieuwe privacywet sluit beter aan op onze sterk toegenomen gedigitaliseerde maatschappij.
De belangrijkste regels binnen de AVG zijn:
- Persoonsgegevens mogen uitsluitend gebruikt worden voor het doel waar de informatie oorspronkelijk voor is verzameld
- Je moet precies weten welke bestanden met persoonsgegevens je beheert en in bezit hebt
- Je moet goed vastleggen hoe je bij de verwerking van persoonsgegevens de beveiliging van deze gegevens waarborgt
- Je moet weten welke rechten de personen hebben van wie je de persoonsgegevens in bezit hebt
- Bij projecten waar met persoonsgegevens wordt gewerkt, moet vooraf een goede inschatting van de risico’s gedaan worden. Dit heet een PIA – Privacy Impact Assessment
- Je kan verplicht worden om een functionaris voor de gegevensbescherming (FG) aan te stellen
- Je moet de integriteit, vertrouwelijkheid, beschikbaarheid en veerkracht van jouw diensten en (digitale) systemen te allen tijde garanderen
In 10 stappen, opgesteld door de Autoriteit Persoonsgegevens (AP), kun je jouw organisatie alvast grotendeels AVG-proof maken. Deze stappen van de AP lees je hieronder.
Ik heb deze stappen in wat eenvoudiger taalgebruik gegoten. Voor de originele tekst van de AP verwijs ik je naar de volgende bronvermelding: Website Autoriteit Persoonsgegevens
1. Bewustwording van de privacywet
Alle verantwoordelijke mensen in jouw organisatie moeten kennis hebben van de nieuwe privacyregels. Dit omdat zij in moeten schatten welke gevolgen de privacywet heeft op de bedrijfsprocessen, goederen / diensten en welke aanpassingen er doorgevoerd moeten worden om aan de privacywet te voldoen.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacywet AVG. De AP kan je boetes opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet als je de privacywet niet goed naleeft. Het is dus een hele belangrijke wet!
2. Rechten van betrokkenen
Alle klanten, leveranciers en overige betrokkenen van wie u met hun persoonsgegevens werkt, krijgen meer privacyrechten. Je moet er daarom voor zorgen dat zij hun rechten ook optimaal kunnen uitvoeren. Hierbij is te denken aan het recht op inzage, correctie en verwijdering van hun persoonsgegevens, maar ook het recht op dataportabiliteit (dit betekent dat de betrokkenen hun persoonsgegevens gemakkelijk van je kunnen krijgen en bijvoorbeeld door kunnen spelen aan een andere organisatie)
Verder kunnen betrokkenen een klacht over jou indienen bij de Autoriteit Persoonsgegevens als je niet goed met hun persoonsgegevens omgaat.
3. Verwerkingsoverzicht maken
Je moet een duidelijk overzicht maken van jouw gegevensverwerkingen. Je hebt binnen de privacywet AVG namelijk een documentatieplicht. Je moet daarom precies documenteren welke persoonsgegevens je verwerkt en waarom (doel). Ook moet je aangeven hoe je aan deze persoonsgegevens komt en met wie je ze eventueel deelt. Deze documentatieplicht moet aantonen dat je in overeenstemming met de privacywet werkt.
Verder is dit verwerkingsoverzicht ook handig indien een betrokkene zijn privacyrechten wil uitoefenen. Want als een betrokkene wil dat je zijn persoonsgegevens aanpast, corrigeert of verwijderd, moet je dit ook doorgeven aan alle organisaties waarmee je deze persoonsgegevens hebt gedeeld.
Neem ook in het verwerkingsoverzicht op, vanwege welke wettelijke grondslag uit de AVG je de betreffende persoonsgegevens verwerkt. Doe dit per categorie van de persoonsgegevens.
4. Privacy Impact Assessment (PIA)
Een Privacy Impact Assessment, kortweg PIA, is een manier om van tevoren alle risico’s in kaart te brengen. Per gevonden risico kunnen dan maatregelen bedacht worden om deze risico’s te verminderen. Je kan verplicht zijn om een PIA uit te voeren. DIt moet als jouw verwerking van persoonsgegevens een hoog privacyrisico heeft. Heb je tegen deze hoge risico’s geen of te weinig maatregelen, dan moet je met de Autoriteit Persoonsgegevens overleggen (voorafgaande raadpleging) voordat je kunt beginnen met de gegevensverwerking. De Autoriteit Persoonsgegevens onderzoekt dan of dit in strijd is met de AVG. Zo ja, dan komen zij met een schriftelijk advies.
5. De beginselen: ¨Privacy by design¨ en ¨privacy by default¨
Mooie engelse termen, maar wat houden ze nu precies in?
Privacy by design: Dit betekent dat je al bij het ontwerp (design) van producten en diensten ervoor zorgt dat alle persoonsgegevens goed beschermd worden.
Privacy by default: Dit betekent dat je zowel organisatorische (zoals je bedrijfsbeleid) als technische (zoals ICT) maatregelen moet nemen om alleen die persoonsgegevens te verwerken die noodzakelijk zijn voor het doel waarvoor je ze gebruikt. Zodat dit jouw standaard (default) binnen het bedrijf wordt.
6. Functionaris voor de gegevensbescherming
Bepaalde organisaties zijn verplicht om een Functionaris voor de Gegevensverwerking (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit is verplicht voor:
- Overheden en andere publieke organisaties
- Organisaties die als kernactiviteit individuen op grote schaal volgen.
- Organisaties die als kernactiviteit bijzondere persoonsgegevens verwerken (medische gegevens, politieke voorkeur, geloofsovertuiging of strafrechtelijke verleden).
Je bent natuurlijk vrij om een FG in je organisatie aan te stellen, ook al is het voor jou misschien niet verplicht.
Meer hierover zie de website van de AP.
7. Meldplicht datalekken
Datalekken moet altijd goed gedocumenteerd worden. Er moet dus een uitgebreide registratie van worden bijgehouden. Datalekken moeten namelijk bij de AP gemeld worden.
8. Bewerkersovereenkomsten
Heb je binnen jouw organisatie de gegevensverwerking uitbesteed aan een andere organisatie (een bewerker/verwerker genoemd bij de AP / AVG)? Dan moet je nu goed controleren of het huidige contract met deze organisatie de nieuwe maatregelen van de AVG voldoende dekt. Als dat niet zo is, dan moet je dit snel (laten) aanpassen in het contract.
9. Leidende toezichthouder
Bij multinationals, met dus vestigingen in andere EU-landen, dan hoeft de organisatie nog maar één privacytoezichthouder te hebben. Dit is dan de leidende toezichthouder voor de hele multinational.
10. Toestemming van betrokkenen
Je moet nu een geldige toestemming van de betrokkenen krijgen om hun persoonsgegevens in jouw systeem te mogen verwerken. Dit moet je -op papier/digitaal- kunnen bewijzen (registratie). Ook moeten deze betrokkenen ook weer net zo makkelijk hun toestemming in kunnen trekken. Hier moet je jouw digitale gegevensverwerking dus goed op inrichten.
Tot slot
Ik vind deze strengere privacy-eisen in de AVG een goede zaak. Ik hoop dat er in de toekomst ook nog een wet komt over het -zonder toestemming- plaatsen van personenfoto’s op het internet (denk aan facebook enz.).
Als voorbeeld: Afgelopen weekend was ik bij een evenement. De volgende dag zag ik dat er blijkbaar foto’s van mij en mijn kinderen (en vele anderen) waren gemaakt en op de facebookpagina van deze organisatie waren geplaatst. Ik heb niet gemerkt dat ze waren gemaakt en het is mij ook niet gevraagd. Een kwalijke zaak dat dit zomaar kan (vooral de foto’s van mijn kinderen). In Frankrijk is het plaatsen van foto’s van kinderen op facebook / internet al verboden. Ik hoop dat wij hier in de toekomst ook naartoe gaan.
Bron voor deze blog: Autoriteit Persoonsgegevens
Het bovenstaand stappenschema is door de AP ontwikkeld. Deze 10 stappen heb ik dan ook zo overgenomen, echter in wat makkelijker taalgebruik verwoord. Op de website van de AP kun je nog veel meer informatie over dit onderwerp vinden.