Op 25 mei 2018 gaat de nieuwe Europese privacywet GDPR (General Data Protection Regulation) van kracht. De nieuwe wet, die wij in Nederland de AVG (Algemene Verordening Gegevensbescherming) noemen, gaat voor organisaties een hoop teweegbrengen. Hoe wordt een organisatie GDPR-ready? In deze checklist vindt u alle componenten die u kunt toepassen om de organisatie klaar te stomen.
Lees ook: De impact van de nieuwe privacywet (GDPR)
Wat kan een organisatie doen om voorbereid te zijn om de nieuwe wet?
De Autoriteit Persoonsgegevens heeft een document opgesteld om organisaties op weg te helpen met de nieuwe wetgeving. Wij zijn zo vrij geweest om deze te vertalen naar begrijpelijke taal. De tien punten:
1. Bewustwording
Zorg ervoor dat alle verantwoordelijke personen in de organisatie op de hoogte zijn van de ontwikkelingen. Zij moeten de impact in kunnen schatten van de nieuwe privacywetgeving. Implementatie van de AVG kan veel tijd vergen. Begin er dus op tijd mee! Vanuit de Autoriteit Persoonsgegevens zijn guidelines te downloaden om uw organisatie op weg te helpen. Daarnaast zijn er diverse adviesbureaus die u kunnen ondersteunen met AVG-vraagstukken.
2. Rechten van betrokkenen
In de nieuwe wet houden betrokkenen (de personen over wie persoonlijke data wordt verwerkt) het recht op inzage van persoonsgegevens en verwijdering. Maar er komt ook een nieuw recht bij: dataportabiliteit. Dit houdt in dat betrokkenen hun data eenvoudig in mogen zien en door kunnen verschuiven naar een andere organisatie. Heel simpel gezegd betekent dit dat een persoon het recht krijg om zijn gegevens te krijgen in een bestand, en deze ook mee kan nemen bij een andere leverancier. Deze leverancier is dan verplicht om die data te importeren in het systeem dat die organisatie gebruikt.
3. Overzicht van verwerkingen
Het is noodzakelijk om inzichtelijk te krijgen welke gegevens u verwerkt. Zo is het nodig om inzicht te krijgen om welke persoonsgegevens dit gaat, met welk doel deze worden verwerkt, waar deze gegevens vandaan komen en met wie deze gedeeld worden. In de nieuwe wet is er sprake van documentatieplicht, wat betekent dat bovenstaande gegevens aantoonbaar moet maken. Dit overzicht kan tevens gebruikt worden als personen hun gegevens willen opvragen.
4. Privacy impact assessment (PIA)
Het kan verplicht worden om een PIA uit te voeren. Dit is een onderzoek om vooraf de risico’s in kaart te brengen. Dit is voornamelijk van toepassing bij organisaties met een verhoogd privacyrisico. Als uit de PIA naar voren komt dat de verwerking een verhoogd risico heeft, dan moet overleg worden gepleegd met de AP over de verwerking.
5. Privacy by design & privacy by default
Geadviseerd wordt privacy by design en privacy by default maatregelen te treffen. Privacy by design houdt in dat bij het ontwerpen van producten en diensten er al gezorgd wordt voor het beschermen van persoonsgegevens. Privacy by default betekent dat bij de ontwikkeling rekening wordt gehouden met alleen noodzakelijke informatie om te verwerken. Denk aan een applicatie die niet de locatie van gebruikers logt als dit niet nodig is of om extra beveiligingsmaatregelen als er bijvoorbeeld medische gegevens worden verwerkt in een app.
6. Functionaris voor de gegevensbescherming
Sommige organisaties kunnen verplicht worden om een functionaris voor gegevensverwerking aan te stellen. Deze functionaris zal vooral gelden voor organisaties die grote schaal persoonsgegevens verwerken. Denk aan organisaties met publieke taken, zoals overheidsinstanties.
7. Meldplicht Datalekken
De Meldplicht Datalekken blijft onder de AVG van kracht. Wel worden de eisen strenger. Zo moeten alle datalekken gedocumenteerd worden. Ook bij twijfel! De AP moet kunnen controleren of aan de meldplicht is voldaan. Dit gaat verder dan de bestaande protocolplicht. Die gaat immers alleen in op de gemelde datalekken.
8. Verwerkersovereenkomsten
Bij verwerking van persoonsgegevens door een derde partij als een hostingprovider, dienen de verantwoordelijkheden te worden vastgelegd in een verwerkersovereenkomst. De Algemene Verordening Gegevensbescherming (AVG) noemt een aantal specifieke punten die opgenomen moeten worden in deze overeenkomst:
- De doelen waarvoor de gegevens worden verwerkt;
- Specificatie van de persoonsgegevens die verwerkt worden;
- Indien er voor meerdere doelen wordt verwerkt, de categorieën van verwerkers die de gegevens zien;
- De wijze van beveiliging van de gegevens;
- Het uitvoeren van audits;
- Het na afloop vernietigen of terugleveren van de gegevens aan de eigenaar van de data.
- Elke handeling met betrekking tot persoonsgegevens dient tot een natuurlijk persoon herleidbaar te zijn.
9. Leidende toezichthouder
Indien uw organisatie meerdere Europese vestigingen heeft, is het niet meer nodig om meldingen te plegen bij meerdere privacytoezichthouders. Er is nog maar een privacytoezichthouder van toepassing voor uw organisatie.
10. Toestemming
In de nieuwe wet gelden strengere eisen voor om persoonsgegevens te verwerken. Betrokkenen moeten toestemming kunnen geven om hun gegevens te verwerken. Het is daarom verstandig om de manier waarop u toestemming vraag te evalueren. Daarnaast is het belangrijk om na te gaan of het straks net zo gemakkelijk is om toestemming weer in te trekken.
Checklist: AVG-ready in 10 stappen
Wil je bovenstaande 10 stappen in een handig document ontvangen? Download dan nu de checklist AVG-ready in 10 stappen. Op zoek naar nog wat meer informatie? Lees ons interview met Michelle Wijnant, ICT-juriste bij ICTRecht.
Benieuwd wat een digitale werkomgeving voor uw organisatie kan betekenen? Download de factsheet of neem direct contact op via true.nl/contact.