Is uw organisatie al AVG-proof?

Advocaat Lisanne Jansen

U heeft nog tot 25 mei 2018 de tijd om uw organisatie in overeenstemming te brengen met de Algemene Verordening Gegevensbescherming (AVG). Vanaf dan zal deze verordening op het gebied van privacy van toepassing zijn in de gehele EU. Dit lijkt wellicht nog ver weg, maar het kan de nodige tijd kosten om uw bedrijf aan de nieuwe regelgeving aan te passen. Wat gaat er onder de nieuwe privacywetgeving veranderen en waar dient u zoal op te letten?

Bewustwording

Inmiddels zal voor de meeste organisaties duidelijk zijn dat er nieuwe privacywetgeving aankomt. Immers, de AVG heeft al vele pennen in beweging gebracht zodat dit u vast niet is ontgaan. De huidige Wet Bescherming Persoonsgegevens (Wbp) zal plaats gaan maken voor (nog) strengere privacyregels. De positie van de betrokkenen (degenen van wie persoonsgegevens worden verwerkt) wordt versterkt en meer dan voorheen wordt de nadruk gelegd op de verantwoordelijkheid van de organisaties. Gezien deze verantwoordelijkheid is allereerst van belang dat uw organisatie zich bewust wordt van de AVG. Zijn “belangrijke” mensen binnen uw organisatie op de hoogte van de nieuwe wetgeving? Welke aanpassingen zijn nodig en wat is de daadwerkelijke impact van de AVG?

Verwerkingsregister

Breng vervolgens in kaart welke persoonsgegevens u verwerkt, met welk doel, hoelang u ze bewaart, met wie u ze deelt, of u toestemming hebt voor de verwerking etc. Op elke organisatie rust namelijk een verantwoordingsplicht. Dit houdt in dat u te allen tijde moet kunnen aantonen dat uw organisatie inderdaad voldoet aan de privacywetgeving. Kunt u dit niet? Dan riskeert u een fikse boete. Documenteer zodoende alles wat te maken heeft met de verwerking van persoonsgegevens. Voor velen zat dit onder meer tot uiting komen in het voor de meeste organisaties verplicht gestelde verwerkingsregister. Hierin moeten alle activiteiten omtrent de verwerking worden omschreven.

DPIA

Levert de verwerking waarschijnlijk een hoog risico op voor de betrokkene? Dan bent u mogelijk verplicht om een data protection impact assessment (DPIA) uit te voeren. Een DPIA is een instrument waarmee organisaties voorafgaand aan een gegevensverwerking de privacyrisico’s in kaart kunnen brengen. Op deze wijze kunnen maatregelen getroffen worden om de risico’s te verkleinen.

Verwerkersovereenkomst

Deelt uw organisatie de persoonsgegevens ook met een derde, de verwerker? Ga dan na of u 1) een overeenkomst hebt gesloten met deze verwerker en 2) of de overeenkomst in overeenstemming is met de vereisten die gelden onder de AVG. De AVG stelt immers strikte eisen aan een dergelijke verwerkersovereenkomst.

Functionaris voor de gegevensbescherming

Bepaal tevens of uw organisatie verplicht is om een functionaris voor de gegevensbescherming (FG) aan te stellen. De FG is iemand die binnen een organisatie toezicht houdt op de toepassing en naleving van de AVG. Is uw organisatie niet verplicht om een FG aan te stellen? Dan raden wij u aan om dit toch te doen. Het kan immers zeer nuttig zijn indien iemand de controle heeft met betrekking tot de privacywetgeving.

Privacy by default

De AVG bepaalt voorts dat de verwerkingsverantwoordelijke producten en diensten met de hoogst mogelijke privacyinstellingen dient aan te bieden aan de gebruikers. Het voorgaande wordt ook wel privacy by default genoemd. Denk bijvoorbeeld aan het aan- en uitvinken van hokjes op websites. Het is daarbij niet de bedoeling dat de verwerkingsverantwoordelijke zelf al het hokje heeft aangevinkt. De betrokkene moet dit zelf kunnen doen, nu minimale gegevensverwerking het uitgangspunt is!

Rechten betrokkenen

Naast alle verplichtingen die op u als verwerkingsverantwoordelijke rusten, dient u alert te zijn op de uitgebreidere rechten van de betrokkenen. Zo krijgt de betrokkene onder andere het recht op gegevensoverdraagbaarheid, ook wel dataportabiliteit genoemd. Dit houdt in dat de betrokkene het recht heeft om de persoonsgegevens bij de organisatie op te vragen en vervolgens door te geven aan een andere organisatie. De betrokkene krijgt onder de AVG dus steeds meer grip op de verwerking van zijn of haar persoonsgegevens.

Concluderend dient u in ieder geval rekening te houden met het volgende:

  • Bewustwording van de AVG in uw organisatie;
  • De verantwoordingsplicht en de mogelijke verplichting tot het bijhouden van een verwerkingsregister;
  • Het mogelijk moeten uitvoeren van een DPIA;
  • Het mogelijk moeten aanstellen van een FG;
  • Het uitgangspunt van privacy by default;
  • De uitgebreidere rechten van betrokkenen.

Al met al brengt de nieuwe wetgeving de nodige administratieve rompslomp met zich mee. Niet alleen dient u voor 25 mei 2018 uw organisatie in overeenstemming te brengen met de wetgeving, maar ook dient u na deze periode steeds alert te zijn of u nog immer aan de wetgeving voldoet. Wenst u hierbij hulp? Neemt u dan gerust contact op met ons Legal Team.

Reageren is niet mogelijk.