De Algemene verordening gegevensbescherming gaat in op 25 mei 2018 en geldt voor de hele Europese Unie. Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wet versterkt privacyrechten van mensen en breidt die uit. De AVG zorgt ook voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt meer dan nu op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

> LEES OOK: 5 vragen over privacyregels bij ziekte

Checklist met 10 belangrijkste stappen naar privacywetgeving

De AP heeft samen met de andere Europese privacytoezichthouders richtlijnen opgesteld. Die geven meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. De AP adviseert organisaties om daarvoor tien stappen te doorlopen. Dit zijn ze:

Bewustwording – Wat houden de nieuwe regels in en wat betekenen deze regels voor menskracht en middelen?
Rechten van betrokkenen – Borg bestaande rechten (inzage en verwijdering van gegevens) en ook nieuwe rechten, zoals het recht op data-portabiliteit.
Overzicht verwerkingen – Breng uw gegevensbewerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt, met welk doel u dit doet en met wie u ze deelt.
Data protection impact assessment (DPIA) of Privacy impact assessment (PIA) – Check de guidelines van de Europese privacytoezichthouders, schat in of u straks (D)PIA’s moet uitvoeren en bepaal uw aanpak.
Privacy by design & privacy by default – Check de onder de AVG verplichte uitgangspunten van privacy by design & privacy by default. Vertaal die beginselen naar uw organisatie.
Functionaris voor de gegevensbescherming (FG) – Bepaal of uw organisatie onder de AVG verplicht is om een FG aan te stellen.
Meldplicht datalekken – De AVG stelt strengere eisen aan uw eigen registratie van datalekken.
Verwerkersovereenkomsten – Heeft u uw gegevensverwerking uitbesteed? Beoordeel of de contracten voldoen aan de eisen die de AVG aan de verwerkersovereenkomsten stelt.
Leidende toezichthouder – Is uw organisatie gevestigd in diverse EU-lidstaten? Of heeft uw gegevensverwerking impact op meer EU-lidstaten? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder te communiceren.
Toestemming – De AVG stelt strengere eisen aan toestemming. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert. Wijzig die als dat nodig is.

> LEES OOK: Alcohol- en drugscontroles horen erbij – of niet?

Nieuwe en oude rechten betrokkenen

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Het gaat dan om bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Maar ook om nieuwe rechten, zoals het recht op dataportabiliteit: het recht om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook moeten organisaties er rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen.

> LEES OOK: Dwangsom voor privacyschending bij verzuim

Verder adviseert de toezichthouder organisaties om onder meer in kaart te brengen welke persoonsgegevens zij verwerken, waar die vandaan komen en met wie de organisatie die deelt. Onder de AVG moeten organisaties een register bijhouden om te kunnen aantonen dat ze in overeenstemming met de wet handelen.

(D)PIA: risico’s gegevensverwerking in kaart

Bij stap 4 komt de data protection impact assessment (DPIA) of privacy impact assessment aan de orde. Onder de AVG kunnen organisaties verplicht zijn om een DPIA of PIA uit te voeren. Dat is een instrument waarmee u vooraf de privacyrisico’s van een gegevensverwerking in kaart brengt. Hiermee kunnen organisaties maatregelen nemen om de risico’s te verkleinen. Een (D)PIA is verplicht als een gegevensverwerking naar alle waarschijnlijkheid een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. De Europese privacytoezichthouders hebben guidelines met criteria opgesteld om het risico te bepalen. Daarnaast publiceert de AP op termijn een lijst van verwerkingen waarvoor een (D)PIA verplicht is.

> LEES OOK: Privacy van A tot Z

Bron: autoriteitpersoonsgegevens.nl

> TIP: DOWNLOAD het GRATIS artikel ‘Privacy-onrust in de polder’ van Pascal Willems

> TIP: Doe de opleiding Privacywetgeving op de werkvloer