10 stappen om je bedrijf voor te bereiden op de nieuwe Algemene Verordening Gegevensbescherming

Het lijkt nog ver weg, maar je kunt er als ondernemer maar beter op voorbereid zijn. Vanaf 25 mei 2018 moeten organisaties namelijk voldoen aan de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Deze wet gaat gelden voor de gehele Europese Unie en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). Organisaties die de nieuwe wet overtreden, riskeren een boete die kan oplopen tot 20 miljoen euro of vier procent van de jaaromzet.

De AVG versterkt en breidt privacyrechten van mensen uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk komt – meer dan nu het geval is – op de verantwoordelijkheid van organisaties te liggen: zij moeten aan kunnen tonen dat zij zich aan de wet houden.

Het stappenplan AVG

De nieuwe wetgeving vraagt van veel ondernemers de nodige voorbereidingen. De Autoriteit Persoonsgegevens (AP) heeft daarom een stappenplan gemaakt waarmee organisaties zich kunnen voorbereiden op de invoering hiervan.

Stap 1 – Bewustwording

Zorg voor bewustwording binnen de organisatie. Het is immers belangrijk om te weten wat de nieuwe regels inhouden. Breng ook in kaart wat deze regels voor je medewerkers en middelen betekenen.

Stap 2 – Kennis van rechten

Ken de rechten van je klanten. Als bedrijf moet jij ervoor zorgen dat klanten en andere betrokken partijen hun rechten kunnen uitoefenen. Het gaat hierbij om bestaande rechten – zoals het recht op inzage en verwijdering van hun gegevens – maar ook om nieuwe rechten. De AVG stelt namelijk dat mensen recht hebben op dataportabiliteit. Dit is het recht om persoonsgegevens die een organisatie van hen heeft te ontvangen, om deze zelf op te slaan en/of deze door te geven aan een andere organisatie.

Stap 3 – Inzicht in persoonsgegevens

Het is natuurlijk van het allergrootste belang dat je precies weet welke persoonsgegevens er binnen jouw bedrijf omgaan. Weet welke gegevens er opgeslagen worden, waar ze vandaan komen en met welke andere organisaties je deze persoonsgegevens deelt. De AVG stelt organisaties verplicht om een register bij te houden waarmee aangetoond kan worden dat ze in overeenstemming met de wet handelen.

10 stappen om je bedrijf voor te bereiden op de nieuwe Algemene Verordening Gegevensbescherming

Stap 4 – Mogelijke assessments

Onder de AVG kunnen organisaties verplicht zijn een privacy impact assessment (PIA) uit de voeren. Hiermee worden van tevoren de privacyrisico’s van de gegevenswerking in kaart gebracht, zodat vervolgens maatregelen kunnen worden getroffen om de risico’s te verkleinen. Een dergelijk assessment is verplicht wanneer de gegevenswerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de gegevens verwerkt worden. Dit is sowieso het geval bij organisaties die:

  • Op grote schaal bijzondere persoonsgegevens verwerken
  • Op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)
  • Systematisch en uitvoerig persoonlijke aspecten evalueren, waaronder profilering

Stap 5 – Privacy by design en privacy by default

De AVG heeft twee uitgangspunten: privacy by design en privacy by default. De eerste vorm houdt in, dat je bij het ontwerpen van al je producten en diensten ervoor moet zorgen dat persoonsgegevens goed worden beschermd. De tweede vorm houdt in, dat je maatregelen moet nemen om ervoor te zorgen alleen de persoonsgegevens die strikt noodzakelijk zijn worden verwerkt.

Stap 6 – Is een functionaris voor gegevensbescherming nodig?

Het kan zijn dat jouw bedrijf straks verplicht is om een functionaris voor de gegevensverwerking aan te stellen. Zoek nu alvast uit of dit het geval is, zodat je – indien het nodig is – een geschikte kandidaat kunt vinden.

10 stappen om je bedrijf voor te bereiden op de nieuwe Algemene Verordening Gegevensbescherming

Stap 7 – Datalekken

Datalekken gaan strenger gecontroleerd worden. Zo stelt de AVG dat alle datalekken die zich binnen een organisatie hebben voorgedaan, geregistreerd moeten worden. Het moet voor de Autoriteit Persoonsgegevens mogelijk zijn om dit te controleren.

Stap 8 – Controleer bewerkersovereenkomsten

Sommige organisaties hebben de gegevensverwerking uitbesteed aan een bewerker (of verwerker). Is dit binnen jouw organisatie ook het geval, ga dan na of de gemaakte afspraken nog toereikend zijn en voldoen aan de eisen van de AVG.

Stap 9 – Privacy over de grens

Wanneer je bedrijf in meerdere EU-lidstaten werkzaam is, had je voorheen te maken met meerdere privacytoezichthouders. Onder de AVG hoef je met nog maar één partij zaken te doen. Je kunt zelf bepalen welke privacytoezichthouder dit wordt (de leidende toezichthouder).

Stap 10 –Toestemming

Je gegevensverwerking kan gebaseerd zijn op de toestemming van de betrokkenen. De AVG stelt strengere eisen aan deze toestemming. Ga na welke eisen dit zijn en in hoeverre jouw bedrijf hieraan al voldoet. Onder de AVG moet je ook kunnen aantonen dat je de toestemming hebt gekregen.

Aanvullende informatie over de AVG

Behalve dat je gebruik kunt maken van bovenstaand stappenplan, zijn er meer manieren om je voor te bereiden op de invoering van de Algemene Verordening Gegevensbescherming. Ook de Europese privacytoezichthouders hebben richtlijnen met criteria opgesteld om het risico voor je onderneming te bepalen. Ter aanvulling publiceert de Autoriteit Persoonsgegevens op termijn een lijst van verwerkingen waarvoor een privacy impact assessment verplicht is.

Hoe vond je dit artikel?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *