Bereid je goed voor op de Algemene Verordening Gegevensbescherming (AVG): 9 tips
Geplaatst op: 12-12-2017, 09:32:53
Vanaf 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving. Je hebt vast al van deze Algemene Verordening Gegevensbescherming gehoord (AVG of GDPR). Maar hoe tref je als organisatie de juiste maatregelen?
In een eerder artikel schreven we al over het hoe en waarom van de AVG, de Europese privacy verordening die ook wel bekendstaat als de General Data Protection Regulation (GDPR). De AVG vervangt onze Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft grote gevolgen voor bedrijven die persoonsgegevens beheren en verwerken. Ook als je ‘alleen’ telefoonnummers of e-mailadressen van klanten hebt verzameld, moet je diverse maatregelen nemen om aan alle regels in de verordening te voldoen om niet met fikse boetes geconfronteerd te worden.
Toetsen en bewustwording
De Autoriteit Persoonsgegevens (AP) gaat erop toezien dat organisaties zich aan de wet houden. Gelukkig helpt de AP bedrijven ook een stukje op weg, met een uitgebreid stappenplan om zich voor te bereiden op de AVG. Het orgaan benadrukt zowel het belang van het vastleggen en toetsen van gegevensverwerkingen als het creëren van bewustwording binnen de organisatie. Als betrokkenen niet weten wat de nieuwe privacywetgeving inhoudt, wordt het immers lastig om deze na te leven.
In 9 stappen compliant worden
Voor elk bedrijf dat persoonsgegevens verwerkt – denk aan telefoonnummers, e-mailadressen en medische data – is het belangrijk om na te gaan of aan de bepalingen in de AVG wordt voldaan. De stappen hieronder helpen om op tijd compliant te zijn.
#1. Leg gegevensverwerkingen vast
Wat voor gegevens zijn het, met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard? Breng in kaart hoe er in je bedrijf met persoonsgegevens wordt omgegaan en op welke grondslag de gegevens worden verzameld (en of die grondslag nog wel voldoet).
Organisaties hebben met de komst van de AVG een register- en documentatieplicht. Dus door nu al de flowsen verwerkingen in kaart te brengen, maak je hier al aardig wat stappen in.
#2. Creëer bewustwording
Maak duidelijk wat de nieuwe privacyregels inhouden en welke invloed die hebben op de huidige processen, diensten en goederen die het bedrijf levert. Medewerkers moeten weten dat klanten waarvan persoonsgegevens worden verwerkt, meer en verbeterde privacy rechten krijgen.
#3. Integreer privacy by design en default
Gebruik het Privacy by Design Framework van SIDN Fonds om aan dit onderdeel invulling te geven. Privacy by design houdt in dat bij het ontwerp van producten en diensten rekening met de privacy van de gebruiker wordt gehouden en dat geen data wordt verzameld die niet essentieel is voor de werking. Privacy by default vereist dat de standaardinstellingen van een product of dienst altijd zo privacy vriendelijk mogelijk zijn.
#4. Maak een protocol voor meldplicht datalekken
Stel een procedure vast voor het (melden) van datalekken, zodat voor iedereen binnen de organisatie duidelijk is welke stappen genomen moeten wanneer er sprake is van een datalek. Elk lek moet binnen 72 uur na ontdekking worden gemeld aan de AP.
#5. Benoem een functionaris gegevensbescherming
Sommige organisaties zijn verplicht een functionaris gegevensbescherming aan te stellen die in de gaten houdt of de organisatie de AVG naleeft. Dit geldt voor overheidsinstanties, publieke organisaties en voor partijen die op grote schaal bijzondere persoonsgegevens verwerken of mensen volgen.
#6. Controleer bewerkersovereenkomsten
De AVG bepaalt dat in een bewerkersovereenkomst meer zaken verplicht moeten zijn opgenomen, met betrekking tot bijvoorbeeld beveiliging en de plichten van de bewerker.
Kwalificeer daarom hosting- en Cloud providers waarmee je als organisatie een contract hebt als bewerker.
Weet waar Cloud leveranciers gegevens verwerken en opslaan. En houd er ook rekening mee dat data kan circuleren tussen de verschillende datacenters waar de leverancier van gebruikmaakt.
#7. Herzie de privacyverklaring
Praktisch elke organisatie moet zijn privacyverklaring herzien. Deze moet niet alleen meer gedetailleerde informatie bevatten, maar ook in begrijpelijke taal zijn geschreven. De tekst moet toegankelijk en eenvoudig geschreven zijn als deze bijvoorbeeld op kinderen gericht is.
#8. Voer een Data Protection Impact Assessment (DPIA) uit
Een ‘gegevens bescherming effectbeoordeling’ is niet voor elke organisatie verplicht, maar wel een handig instrument om de privacy risico’s van je gegevensverwerkingen in kaart te brengen en passende maatregelen te nemen.
Je bent in ieder geval verplicht een DPIA uit te voeren als je gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor je klant. Dat is het geval als je systematisch en uitvoerig persoonlijke aspecten evalueert, zoals bij profiling. Of wanneer je op grote schaal bijzondere persoonsgegevens verwerkt of systematisch mensen volgt in publiek toegankelijk gebied.
#9. Verhoog je ICT-beveiliging
Zowel de verantwoordelijke als de bewerker moet onder de AVG zorg dragen voor adequate technische en organisatorische beveiliging van systemen waarmee persoonsgegevens worden verwerkt.
Neem beveiligingsmaatregelen om persoonlijke data te beschermen tegen verlies, aanpassing en ongeoorloofde verwerking. En controleer of de (cloud)software die je gebruikt voldoet aan de beveiligingsstandaarden.
AVG-boete
Vanaf het moment dat de AVG definitief in werking treedt, moet elke organisatie kunnen aantonen dat het in overeenstemming met de verordening handelt. Is dat niet het geval, dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet. Tijd voor actie dus!
Bron: publicatie op www.mt.nl van 12 december 2017