Voorkom een Privacy storm, wees klaar voor de AVG

Als digital agency begeleiden wij onze klanten op de weg naar digitale transformatie en geven wij graag de legenda bij deze nieuwe kaart. In samenwerking met Deloitte is op donderdag 26 oktober een kennissessie georganiseerd voor onze klanten. Deze kennis delen wij graag breder en in deze blog hebben wij beknopt uitgelegd wat de AVG is, wat ons te wachten staat en vooral: wat je wel en ook niet moet doen in aanloop naar 25 mei 2018.

Algemene Verordening Gegevensbescherming – AVG

De AVG is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR) die burgers meer controle over hun persoonlijke gegevens geeft en ervoor zorgt dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. De AVG is bedoeld om een kader te scheppen waarin het voor iedereen duidelijk is wat de rechten en plichten zijn met betrekking tot opslag, gebruik en verwerking van persoonsgegevens.

Wat zijn persoonsgegevens?

Alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Van NAW-gegevens tot een foto of video waarin iemand kan worden herkend. Het gaat ook om medische, financiële en andere sensitieve/gevoelige gegevens zoals godsdienstige overtuigingen of combinaties van bepaalde informatie (bijv. postcode en BSN). Persoonsgegevens mogen enkel verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden.

Speerpunten van de AVG

Transparantie richting betrokkene

Er geldt een informatieplicht ten aanzien van de betrokkene. Het moet voor een natuurlijk persoon transparant zijn dat de persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier worden verwerkt, met welk doel deze verwerking plaatsvindt en door wie de gegevens worden verwerkt.

Dataminimalisatie

Bij het verzamelen en verwerken van persoonsgegevens mogen niet meer gegevens worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Data Protection Impact Assessments oftewel: Gegevensbeschermingseffectbeoordeling

De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. De Europese privacytoezichthouders (‘WP29’) hebben in oktober 2017 de (definitieve) 'Guidelines on Data Protection Impact Assessment' gepubliceerd die meer uitleg geven over de DPIA. Voor meer informatie zie de website van de Autoriteit Persoonsgegevens.

Right to be forgotten

Klanten hebben het recht inzage te krijgen in hun gegevens, deze te corrigeren, eventueel verzet aan te tekenen, te wissen of over te dragen. Dit is geen absoluut recht. Het heeft te maken met de impact op de persoonlijke levenssfeer en de middelen.

Welke acties liggen er voor organisaties die persoonsgegevens verwerken?

Awareness! Voorkomen is beter dan genezen.

Voorbereiding zit hem voor een groot deel in bewustwording. Organisaties moeten ervoor zorgen dat alle bij de verwerking van persoonsgegevens betrokken mensen op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. En het gaat verder dan dat. Het doel van de AVG is ook om organisaties bewuster om te laten gaan met het verwerken van gegevens. Waarom worden deze opgeslagen en is dat daadwerkelijk nodig?

Documenteren van gegevensverwerkingen – interne dataregisters

Organisaties die persoonsgegevens verwerken moeten een register van alle verwerkingsactiviteiten bijhouden. Documenteer welke persoonsgegevens worden verwerkt en met welk doel dit wordt gedaan. Neem hier ook in op waar deze gegevens vandaan komen en met wie deze worden gedeeld.

Aanstellen functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG.

Toestemming voor gegevensverwerking

De AVG stelt strengere eisen aan toestemming van betrokkenen bij het verwerken van gegevens. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Je moet vanaf 25 mei 2018 kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Meldplicht datalekken

Veel bedrijven waren bang dat de AVG de meldplicht datalekken zou aanpassen, maar goed nieuws: de meldplicht datalekken blijft onder de AVG grotendeels ongewijzigd. De AVG stelt wel strengere eisen aan de eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Alle datalekken moeten worden geregistreerd. Organisaties zijn verplicht tot bijhouden logboek van de aan de Autoriteit Persoonsgegevens en de betrokkene gemelde datalekken.

Dit logboek bevat ten minste:

• De feiten en gegevens omtrent de aard van de inbreuk
• De tekst van de kennisgeving aan de betrokkene

Met behulp van deze documentatie moet de Autoriteit Persoonsgegevens (AP) kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Meer informatie?

Als klant van Estate kun je altijd bij ons terecht voor meer informatie omtrent dit onderwerp. Neem hiervoor gerust contact op met jouw contactpersoon of via het Serviceteam. Het is ook mogelijk om de presentatie te ontvangen die Peter Kits van Deloitte tijdens de kennissessie heeft gegeven. Stuur hiervoor een mail naar sales@estate.nl dan helpen wij je graag verder.