In 10 stappen voorbereid op de AVG

Je kunt er niet meer omheen: online privacy. Dat is niet zonder reden. Je bent continu online. Zelfs apparaten, zoals koelkasten en energiemeters, kunnen tegenwoordig ‘smart’ zijn. En dan hebben we ’t nog niet eens gehad over diensten als WhatsApp en Facebook. Als bedrijf verwerk je daardoor – bewust of onbewust - enorm veel gegevens van klanten. Het gevolg van al deze ontwikkelingen? De ‘cookiewet’ en Wet bescherming persoonsgegevens (Wbp) volstaan niet meer.

Tijd voor een nieuwe, Europese wetgeving. Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG), ook bekend als General Data Protection Regulation (GDPR). Lees hier wat je kunt doen om voorbereid te zijn.

De Autoriteit Persoonsgegevens heeft een 10-stappen plan opgesteld. Wij vatten het voor je samen. Hoef je het niet meer op te zoeken.

Stap 1: wees op de hoogte

Het is belangrijk dat iedereen in je bedrijf op de hoogte is van de nieuwe privacyregels. Overtredingen van de wet kunnen namelijk (financiële) consequenties hebben. De beleidsmakers moeten vooral op de hoogte zijn, want zij weten het beste wat de AVG betekent voor jouw bedrijfsprocessen, diensten en goederen en wat ervoor nodig is om hieraan te voldoen. De implementatie van de AVG kan veel vragen van je personeel en middelen. De Autoriteit Persoonsgegevens (AP) adviseert dan ook om er op tijd mee te beginnen.

Stap 2: zorg dat je klanten hun rechten kunnen uitoefenen

Door de nieuwe wetgeving krijgt iedereen waarvan je persoonsgegevens verwerkt meer en verbeterde privacyrechten. Daarom is het belangrijk dat zij hun rechten goed kunnen uitoefenen. Er zijn natuurlijk al bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Daar zijn nu nieuwe rechten aan toegevoegd, zoals het recht op dataportabiliteit. Hierbij moet je ervoor zorgen dat mensen hun gegevens makkelijk kunnen krijgen en kunnen doorgeven aan een andere organisatie.

Ook goed om te weten: bij de AP kan men klachten indienen over de manier waarop je met hun gegevens omgaat. Zij zijn verplicht deze klachten te behandelen.

Stap 3: houd data bij en wees transparant

Wanneer iemand om zijn gegevens vraagt, moet je daar inzage in kunnen geven. Zorg er daarom voor dat je de manier waarop je deze gegevens verwerkt, in kaart brengt. Houd precies bij welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Waarom? Vanaf 25 mei heb je onder de AVG ook een verantwoordingsplicht, waardoor je moet kunnen aantonen dat jouw bedrijf in overeenstemming met de AVG handelt. Een onderdeel van deze verantwoordingsplicht is het bijhouden van een register van verwerkingsactiviteiten. En let op: je kunt dit register ook nodig hebben als mensen hun privacyrechten uitoefenen. Als zij jou vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.

Stap 4: check of je een DPIA moet uitvoeren

Je kunt binnenkort verplicht zijn om een zogenaamde data protection impact assessment (DPIA) uit te voeren. Dat klinkt heel spannend en dat kan het ook zeker zijn. Het is namelijk een middel om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Op basis hiervan kun je maatregelen nemen om de risico’s te verkleinen.

Als jouw bedrijf veel persoonsgegevens verwerkt, bijvoorbeeld wanneer je werkt met een CRM-systeem, is het verstandig om een DPIA uit te voeren. Jouw beoogde gegevensverwerking brengt dan waarschijnlijk een hoog privacyrisico met zich mee. Je kunt dus nu alvast inschatten of je straks DPIA’s moet uitvoeren en hoe je dit dan gaat aanpakken.

Komt uit een DPIA naar voren dat jouw beoogde verwerking een hoog risico oplevert? En lukt het je niet om (op tijd) maatregelen te vinden om dit risico te beperken? Overleg dan met de AP voordat je met de verwerking start. De AP beoordeelt vervolgens of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval? Dan ontvang je een schriftelijk advies van de AP.

Stap 5: let op ‘privacy by design’ en ‘privacy by default’

Zorg ervoor dat je ook alvast op de hoogte bent van ‘privacy by design’ en ‘privacy by default’ en bedenk hoe je deze beginselen binnen je bedrijf kunt invoeren.

Bij het ontwerpen van producten en diensten, zoals websites en apps, moet je al rekening houden met de bescherming van persoonsgegevens. Ook moet je ervoor zorgen dat je niet meer gegevens verzamelt dan noodzakelijk is voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Dit wordt privacy by design genoemd.

Bij privacy by default moet je ook technische en organisatorische maatregelen nemen om ervoor te zorgen dat je alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door iemand die zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is, of op jouw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken.

Stap 6: bepaal of je een functionaris voor de gegevensbescherming nodig hebt

Een functionaris voor gegevensbescherming? Ja, je leest het goed. Grotere bedrijven of organisaties kunnen verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit ook voor jouw bedrijf geldt. Is dit het geval, wacht dan niet te lang met het werven van een FG.

Stap 7: weet dat je (nog steeds) een meldplicht van datalekken hebt

Onder de huidige wetgeving heb je al een meldplicht datalekken. Dit blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan jouw eigen registratie van de datalekken die zich in jouw bedrijf hebben voorgedaan. Je moet dan ook alle datalekken bijhouden en documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat dus nog een stapje verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

De Europese privacytoezichthouders zijn druk bezig met het opstellen van guidelines over de meldplicht datalekken onder de AVG. Wanneer deze definitief zijn, kun je hiervoor terecht bij de Autoriteit Persoonsgegevens. 

Stap 8: beoordeel of je je gegevensverwerking hebt uitbesteed

Heb je jouw gegevensverwerking uitbesteed aan een derde partij? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met jouw verwerkers nog steeds toereikend zijn. En ook of deze voldoen aan de eisen die de AVG stelt aan verwerkersovereenkomsten. Zo niet, breng dan zo snel mogelijk noodzakelijke wijzigingen aan.

Bij STEETS bieden we nu ook een verwerkingsovereenkomst aan, die al conform de eisen van AVG opgesteld is. 

Stap 9: kijk of je een leidende toezichthouder hebt

Als jouw bedrijf vestigingen in meerdere EU-lidstaten heeft, of jouw gegevensverwerkingen in meerdere lidstaten impact hebben, dan heb je onder de AVG nog maar met één privacytoezichthouder te maken. Dit is jouw leidende toezichthouder. Bepaal of dit voor jouw bedrijf geldt en onder welke privacytoezichthouder je valt.

Stap 10: evalueer op welke manier je toestemming vraagt, krijgt en registreert

Voor sommige gegevensverwerkingen heb je toestemming nodig van betrokken personen. De AVG stelt straks strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. En pas deze wijze indien nodig aan. Wat ook nieuw is: je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Bron: Autoriteit Persoonsgegevens