Wat houdt de nieuwe privacywetgeving in?
Per 25 mei 2018 zijn organisaties verplicht om hun verwerking van persoonsgegevens af te stemmen op de General Data Protection Regulation (GDPR), of in het Nederlands de Algemene Verordening Gegegevensbescherming (AVG). Wat verandert er ten opzichte van de eerdere privacywetgeving en wanneer is uw organisatie in voldoende mate compliant aan de AVG? In onderstaand artikel geven wij in hoofdlijnen weer welke vereisten de AVG kent.
Wat kan NewBaze voor u betekenen bij gegevensbescherming?
Wilt u in voldoende mate compliant zijn aan de AVG? Dan kan NewBaze uw organisatie onder meer ondersteunen bij:
- het inventariseren van de specifieke verplichtingen van uw organisatie op grond van de AVG;
- het inventariseren en vaststellen van de bewaartermijnen van privacygevoelige informatie;
- het uitvoeren van een privacy impact assessment;
- het opstellen van een register van verwerkingen;
- het opstellen van een protocol meldplicht datalekken;
- het opstellen van een privacy protocol of privacy statement, specifiek afgestemd op de activiteiten van uw organisatie;
- het opstellen van verwerkersovereenkomsten.
Heeft u behoefte aan een dergelijke ondersteuning? Of heeft u meer vragen over de AVG? Neem dan vrijblijvend contact op met mr. Sandra Verberk-Elich op sandra.verberk@newbaze.nl of bel 078-200 13 14.
Wanneer bent u verplicht te voldoen aan de AVG?
De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Maar ook als de gegevens niet digitaal verwerkt worden, moet de AVG worden nageleefd als deze gegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.
De AVG is eveneens leidend als de verwerking plaatsvindt in het kader van een activiteit van een in de EU gevestigde organisatie. Hiervan is ook sprake als de verwerking is uitbesteed aan een organisatie met activiteiten in de EU of als persoonsgegevens van EU burgers worden verwerkt in het kader van het aanbieden van goederen en diensten aan die EU-burgers, dan wel het monitoren van hun gedrag binnen de EU.
Welke verplichtingen legt de AVG op?
De AVG beoogt meer verantwoordelijkheid en meer transparantie te bewerkstelligen bij organisaties ten aanzien van het waarborgen van de privacy van personen. Dit oogmerk vertaalt zich in een aantal verplichtingen:
1. De verwerking dient aantoonbaar rechtmatig, behoorlijk en transparant plaats te vinden
Een verwerking is rechtmatig, als die plaatsvindt op de grondslagen in artikel 6 van de AVG. Zo zal een voorafgaande toestemming of uitvoering van een overeenkomst met een betrokkene een grondslag kunnen vormen voor de verwerking.
De gegevensverwerking wordt als behoorlijk beschouwd als deze plaatsvindt op een zodanige manier, dat zo min mogelijk gegevens worden verwerkt om het doel, dat voor de gegevensverwerking is vastgesteld, te kunnen bereiken. De gegevens moeten echter wel toereikend zijn om het doel te verwezenlijken en ook dienen de gegevens uiteraard voldoende relevant te zijn voor dat doel. Voorts moeten de gegevens actueel zijn, niet langer bewaard worden dan noodzakelijk is en moeten deze op passende wijze beschermd worden tegen onrechtmatige verwerking, of tegen onopzettelijke vernietiging, wijziging, verlies en beschadiging.
De AVG verwacht dat uw organisatie transparant is over de verwerking. Dit houdt in dat het voor de betrokkene duidelijk is dat zijn of haar persoonsgegevens worden verwerkt, met welk doel en door wie. Transparantie hangt samen met de verantwoordingsplicht, in die zin dat u verantwoording moet afleggen aan de betrokkene door hem/haar actief te informeren. Met een privacyprotocol en een privacy statement op uw website, waarin is neergelegd op welke wijze en in welke mate de privacy van de betrokken personen wordt gewaarborgd, kunnen organisaties hieraan voldoen.
2. De rechten van betrokkenen dienen te worden gerespecteerd
In artikel 13 tot en met 22 van de AVG is een groot aantal rechten van betrokkenen geformuleerd, waaronder het recht op informatie, rectificatie, gegevenswissing en het recht op het maken van bezwaar. Iedere organisatie, die onder het bereik van de AVG valt, moet kunnen aantonen dat deze rechten geëerbiedigd worden. Door deze rechten op te nemen in een privacy protocol kunt u aan dit vereiste voldoen.
3. Verplichtingen van de verwerkingsverantwoordelijke
De AVG heeft voor organisaties, die persoonsgegevens verwerken een groot aantal verplichtingen in het leven geroepen. Het is afhankelijk van de aard en omvang van de gegevensverwerking, de privacygevoeligheid van de gegevens en de omvang van uw organisatie om te bepalen in welke mate organisaties aan deze verplichtingen moeten voldoen. In hoofdlijnen komen de verplichtingen op het volgende neer:
- De gegevens moeten op een passend niveau worden beschermd
Afhankelijk van de risico’s, die voor de verwerking in uw organisatie gelden, moet u afdoende beschermingsmaatregelen treffen. Ook wordt van u verwacht dat u de gegevens beschermt door ontwerp en door standaardinstellingen. Zo zal een webformulier om een aankoop te doen via internet geen vakje voor het invullen van de geboortedatum mogen bevatten, als het verwerken van de geboortedatum van de koper niet noodzakelijk is voor het sluiten van de koopovereenkomst.
- Sluit verwerkersovereenkomsten met uw verwerkers
Worden persoonsgegevens onder uw verantwoordelijkheid extern verwerkt door een andere organisatie (de verwerker genoemd, bijvoorbeeld uw loonadministrateur), dan schrijft de AVG voor dat deze verwerker afdoende garanties biedt, dat ook zij de AVG naleeft. U kunt dit doen door met hen verwerkersovereenkomsten te sluiten, waarin deze garanties zijn opgetekend.
- Stel een register van uw verwerkingsactiviteiten op
Voor organisaties, die op regelmatige basis persoonsgegevens verwerken (en daarvan is al snel sprake), die 250 of meer personen in dienst hebben en voor organisaties, die een verhoogd risico opleveren voor de privacy (bijvoorbeeld als zij veel of juist bijzondere of gevoelige persoonsgegevens verwerken), is een dergelijke registratie verplicht. Wat er exact geregistreerd moet worden, is vermeld in art. 30 AVG.
- Datalekken moeten snel worden gemeld
Inbreuken met betrekking tot persoonsgegevens dienen binnen 72 uur na ontdekking daarvan te worden gedocumenteerd en te worden gemeld bij de Autoriteit Persoonsgegevens. Tevens moet het datalek met een hoog risico voor inbreuk op de privacy onverwijld worden vermeld aan de betrokken.
- Verricht een data protection impact assessment (DPIA)
Met een DPIA kunnen organisaties vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen en vervolgens maatregelen nemen om de risico’s te verkleinen. Een DPIA (of in het Nederlands een gegevensbeschermingseffectbeoordeling) is alleen vereist wanneer de gegevensverwerking, gelet op de aard, de omvang, de context en de doeleinden, een verhoogd risico op inbreuk met zich meebrengt, zoals bijvoorbeeld bij ziekenhuizen die veel gevoelige informatie over gezondheid van hun patiënten verwerken.
- Stel een functionaris voor gegevensbescherming (FG) aan
Een FG is vereist indien:
a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan (behalve rechtsprekende instanties);
b) organisaties die zich voornamelijk bezighouden met stelselmatige observatie op grote schaal van betrokkenen;
c) organisaties die zich voornamelijk bezighouden met de verwerking van bijzondere persoonsgegevens.
Welk risico loopt u als u niet aan de AVG voldoet?
De Autoriteit Persoonsgegevens (AP) heeft de mogelijkheid om boetes op te leggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van de verwerkingsverantwoordelijke organisatie. Dit geldt ook als er geen sprake is van opzet of verwijtbare nalatigheid. De bewijslast van de overtreding van de AVG ligt weliswaar bij de AP, maar de hoogte van de boetes en het feit dat een verwijt niet noodzakelijk is, noopt tot het treffen van afdoende maatregelen én het documenteren van die maatregelen. Bereid u zich dus op tijd voor, zodat u kunt aantonen dat u op 25 mei 2017 op alle punten aan de AVG voldoet.
NewBaze maakt uw organisatie AVG-compliant:
- door het inventariseren van uw verplichtingen op grond van de AVG;
- door het uitvoeren van een data protection impact assessment (DPIA);
- met het opstellen van een privacyprotocol en een protocol meldplicht datalekken;
- met het opmaken van verwerkingsovereenkomsten met uw verwerkers;
- door het aanreiken van tools voor preventie en controle op de naleving van de AVG.