De nieuwe privacywet
25 mei 2018

Tags:

Een nieuwe privacywet is op komst. Vanaf 25 mei 2018 maakt de huidige Wet bescherming persoonsgegevens (Wbp) plaats voor de Algemene Verordening Gegevensbescherming (AVG). Dit kan gevolgen hebben voor uw bedrijf, website of app.

Waarom de AVG en wat verandert er?

Door de toename van digitalisering en daarmee de grote toename van dataverkeer, is de huidige Wet bescherming persoonsgegevens (Wbp) aan vernieuwing toe. Daarom wordt deze straks vervangen door de nieuwe AVG.

De AVG breidt privacyrechten uit en versterkt deze. Ook krijgen organisaties meer verplichtingen en verantwoordelijkheden. Zo moet iedere organisatie (met documenten) kunnen aantonen zich aan de AVG te houden. Dit geldt voor zowel grotere organisaties als mkb’ers en zzp’ers.

Ook zorgt de nieuwe wet voor dezelfde bevoegdheden voor alle Europese privacytoezichthouders. Bijvoorbeeld de bevoegdheid boetes tot 20 miljoen op te kunnen leggen.

Om grote boetes te voorkomen, is een goede voorbereiding op de nieuwe wet van groot belang. De Autoriteit Persoonsgegevens (AP) heeft de 10 belangrijkste stappen ter voorbereiding opgesteld die wij hieronder kort toelichten.

10 aandachtspunten

  • Bepaal de impact

    Stel iedereen binnen de organisatie op de hoogte van de nieuwe privacywet en onderzoek wat de nieuwe privacywet voor impact heeft op de huidige processen binnen de organisatie. Maak bijvoorbeeld een lijst met aanpassingen die nodig zijn om aan de AVG te voldoen. De guidelines van de AP kunnen hierbij van pas komen.

  • Houd rekening met de rechten van betrokkenen

    In de AVG krijgen mensen van wie de persoonsgegevens verwerkt worden meer en verbeterde privacyrechten. Houd er rekening mee dat u als organisatie hierop aansluit. Betrokkenen kunnen namelijk klachten indienen bij de AP over de manier waarop u met hen gegevens omgaat en de AP is verplicht deze te behandelen.

  • Breng gegevensverwerking in kaart

    Maak een duidelijk overzicht van alle persoonsgegevens die u verwerkt als bedrijf. Bepaal om welke gegevens het gaat, waar deze persoonsgegevens vandaan komen, waarom u deze gegevens verzamelt en met wie u deze gegevens deelt. Dit overzicht heeft uw organisatie nodig om aan de verantwoordingsplicht van de AVG te voldoen. Ook kan dit overzicht nodig zijn wanneer betrokkenen hun privacyrechten uitoefenen (zie punt 2).

  • Uitvoeren van een DPIA

    DPIA staat voor Data Protection Impact Assessment. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Als organisatie hoeft u niet voor elke gegevensverwerking een DPIA uit te voeren. Het is alleen verplicht als de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Lees hier meer over op de AP.

  • Privacy by design en privacy by default

    Privacy by design houdt in dat u ook in het ontwerp proces er al voor zorgt dat persoonsgegevens goed beschermd worden. Vraag dus niet meer gegevens dan nodig en bewaar gegevens niet langer dan nodig is.

    Houdt daarnaast rekening met privacy by default. Dit betekent dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken. Bedenk dus goed welke gegevens u verplicht stelt op bijvoorbeeld een inschrijfformulier op uw website of wanneer een klant zich registreert voor uw app.

  • Stel een functionaris voor gegevensbescherming aan

    Sommige organisaties zijn binnen de AVG verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Dit is iemand die toezicht houdt op de toepassing en naleving van de AVG binnen de organisatie. Of dit voor uw organisatie geldt, lees je hier.

  • Documenteer alle datalekken

    Net zoals bij het Wbp bent u als bedrijf verplicht om alle datalekken te melden. Deze meldingsplicht blijft hetzelfde, maar de registratie ervan wordt strenger bij de AVG. Dit betekent dat u als bedrijf alle datalekken moet documenteren.

  • Bewerkersovereenkomsten

    Het kan zijn dat u gegevensverwerking hebt uitbesteed aan een bewerker (in AVG: ‘verwerker’ genoemd). Let er dan op dat een bestaand contract met deze bewerker voldoet aan de eisen die de AVG aan verwerkersovereenkomsten stelt.

  • Bepaal welke leidende toezichthouder

    Wanneer uw organisatie vestigingen heeft in meerdere Europese landen of wanneer u gegevensverwerking in meerdere lidstaten impact heeft, hoeft u nu nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Bepaal voor uw bedrijf onder welke leidende toezichthouder u valt.

  • Evalueer de manier van toestemming verkrijgen

    De nieuwe wet verplicht uw organisatie om aan te tonen dat u toestemming hebt gekregen van mensen om hun persoonsgegevens te verwerken. Zorg dus dat u kunt laten zien dat uw organisatie dit daadwerkelijk doet.

Meer weten over de AVG?

Meer informatie is ook te vinden op onderstaande websites:

Bron: Autoriteit Persoonsgegevens ‘Voorbereid in 10 stappen
Europa Centraal
Autoriteit Persoonsgegevens