nieuws

Tienstappenplan naar privacywetgeving

Wetgeving

Over een jaar moet elke organisatie voldoen aan de nieuwe Europese privacywetgeving. De Autoriteit Persoonsgegevens heeft een tienstappenplan opgesteld ter voorbereiding op de nieuwe regels.

Tienstappenplan naar privacywetgeving

De Algemene verordening gegevensbescherming (AVG) gaat in op 25 mei 2018 en geldt voor de hele Europese Unie. Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wet versterkt en breidt privacyrechten van mensen uit én zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

De AVG versterkt en breidt privacyrechten uit

In 10 stappen naar privacywetgeving

De AP adviseert organisaties op tijd te beginnen met de implementatie van de regels. Zij heeft samen met de andere Europese privacytoezichthouders richtlijnen opgesteld die meer uitleg geven over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Om op tijd voorbereid te zijn op de implementatie van de Europese privacywetgeving, adviseert de AP organisaties om tien stappen te doorlopen. Stap 1 is volgens de AP zorgen voor bewustwording in de organisatie. Wat houden de nieuwe regels in? En wat betekenen deze regels voor menskracht en middelen?

Nieuwe en oude rechten betrokkenen

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Het gaat dan om bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Maar ook om nieuwe rechten, zoals het recht op dataportabiliteit: het recht om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook moeten organisaties er rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen.

De AP is verplicht klachten over privacy te behandelen

Verder adviseert de toezichthouder organisaties onder meer in kaart te brengen welke persoonsgegevens zij verwerken, waar de gegevens vandaan komen en met wie de organisatie ze deelt. Onder de AVG moeten organisaties een register bijhouden om te kunnen aantonen dat ze in overeenstemming met de wet handelen.

PIA: risico’s gegevensverwerking in kaart

Onder de AVG kunnen organisaties verplicht zijn om een PIA uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hiermee kunnen organisaties maatregelen nemen om de risico’s te verkleinen. Een PIA is verplicht als een gegevensverwerking naar alle waarschijnlijkheid een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. De Europese privacytoezichthouders hebben guidelines met criteria opgesteld om het risico te bepalen. Daarnaast publiceert de AP op termijn een lijst van verwerkingen waarvoor een PIA verplicht is.

Bron: pwnet.nl

 

> LEESTIP: bijblijven met privacywetgeving en de gewijzigde Arbowet? Kom naar de Arbo Actualiteitendag.

> DOE-TIP: DOWNLOAD het GRATIS artikel ‘Privacy-onrust in de polder’ van Pascal Willems uit Vakblad Arbo 1/2-2017.

Reageer op dit artikel