Voldoet uw organisatie aan de nieuwe Europese privacyverordening?
Vanaf 25 mei 2018 zal de nieuwe Europese privacyverordening: Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR), op Europees niveau worden gehandhaafd. De nieuwe wet verscherpt regels uit de huidige Wet Bescherming Persoonsgegevens (Wbp), maar voegt ook een aantal nieuwe verplichtingen toe.
Uitgangspunten wetgeving:
De AVG introduceert kernbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen:
* Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt
* Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt
* Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwekt
* Gegevens moeten correct en actueel zijn
* Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of ten minste geanonimiseerd
* De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.
Wat verandert er in 2018?
Als de algemene verordening gegevensbescherming (AVG) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen.
Er staan een aantal interessante veranderingen in de AVG:
- De AVG is niet alleen van toepassing op Europese organisaties die persoonsgegevens (laten) verwerken. De wet geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU (laten) monitoren.
- De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet.
- Het ‘recht om vergeten te worden’. In de AVG staat dat alle organisaties die persoonsgegevens (laten) verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan.
- Het verbod van artikel 24 in de Wbp op de verwerking van identificatienummers zoals het BSN nummer wordt opgeheven. In de AVG bestaat dat verbod niet, wat inhoudt dat voortaan vrijer gebruik van identificatienummers mogelijk is. Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.
- Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerkingen van persoonsgegevens te melden bij de lokale toezichthouders is niet meer van toepassing. Organisaties moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
- De AVG is een verordening, en niet slechts een EU-richtlijn. Hierdoor is deze, in tegenstelling tot richtlijn 95/46/EG, rechtstreeks geldig. Dit is gunstig voor organisaties die in meerdere landen opereren. De regelgeving is dus overal gelijk. Lokale overheden krijgen wel de kans om wetgeving aan te passen aan eigen behoeftes omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens, maar het zou heel goed kunnen dat andere instanties hier ook bij betrokken gaan raken.
Wat betekent dit voor uw organisatie en hoe kunt u zich alvast voorbereiden?
De AVG heeft een grote impact op organisaties die persoonsgegevens beheren en (laten) verwerken. De overgangsperiode tot 2018 is bedoeld om organisaties de ruimte te geven zo goed mogelijk te voldoen aan alle onderdelen van de verordening. Voor een goede voorbereiding moeten onder andere de volgende processen worden ingericht:
- Breng goed in kaart welke en hoeveel persoonsgegevens er worden bijgehouden en op wat voor manier deze worden bijgehouden in uw organisatie.
- Zorg voor een procedure voor datalekken zodat het duidelijk is welke stappen er genomen moeten worden door de organisatie bij het vermoeden van of kennisneming van een incident dat (mogelijk) aangemerkt kan worden als een datalek. Tips over het maken van een procedure voor datalekken kunt u hier vinden.
- Ga na of uw organisatie een Functionaris Gegevensbescherming (ook wel Data Protection Officer of Privacy Officer) moet aanstellen. Dat wordt in ieder geval verplicht voor organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken.
- Bij meer dan 250 medewerkers (of wanneer er gevoelige data wordt verwerkt), moet een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, grondslag en de genomen beveiligingsmaatregelen.
- Pas het privacy statement van uw organisatie aan en bedenk welke processen binnen het bedrijf moeten worden aangepast om de rechten van betrokkenen (recht op verzet, inzage, rectificatie, het recht om vergeten te worden, het recht op overdraagbaarheid van zijn data (dataportabiliteit), het recht om de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen te waarborgen.
- De overeenkomsten met hosting- en Cloudproviders en andere leveranciers die persoonsgegevens (laten) verwerken moeten worden gecontroleerd. In de bewerkersovereenkomsten met deze dienstverleners moet veel meer geregeld zijn dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.
- Controleer de privacyverklaring van de organisatie. Die moet veel meer gedetailleerde informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
- Opzetten van compliance procedures en adequate processen, inclusief training van medewerkers, om te kunnen aantonen dat de organisatie voldoet aan de AVG regels
- Nagaan of het nodig is om intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Bij gebruik van een nieuwe techniek voor het verwerken van persoonsgegevens of bij het koppelen van gegevensbronnen moet er eerst een onderzoek worden uitgevoerd naar de privacy-effecten als er door de nieuwe verwerking een groot risico voor de privacy van personen kan ontstaan.
Hoe te starten?
Organisatie hebben echter nog een jaar totdat er ook daadwerkelijk op gehandhaafd gaat worden. Een PIA biedt een startpunt voor het inzichtelijk krijgen van waar een organisatie zich op bevindt en welke beveiligingsmaatregelen er nog genomen dienen te worden. Ook is het de eerste stap naar de bewustwording van de risico`s en de te nemen technische en organisatorische maatregelen.
Bron: Autoriteit Persoonsgegevens (AP) Geraadpleegd op 25 mei 2017, van: http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf