Op 25 mei 2018 wordt de Europese wetgeving op de privacy van kracht. Een wet die moet zorgen dat organisaties, groot of klein, beter zorg gaan dragen voor persoonsgegevens die verzameld worden. Deze wet is de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG). Er bestaan heel wat vragen over deze nieuwe wet, wat betekent deze verandering nu precies?

Geen WBP meer maar GDPR

De Wet bescherming persoonsgegevens (Wbp) wordt vervangen door de GDPR. De Wbp bevat de regels die de burger moet beschermen ten aanzien van privacy. In 2001 werd de Wbp ingevoerd en verving destijds de Wet persoonsregistratie uit 1989. In 2016 werd de Wbp vervangen door de Algemene Verordening Gegevensbescherming (AVG). Organisaties hebben echter tot 25 mei 2018 de tijd om aan deze nieuwe wet te voldoen en hun bedrijfsvoering aan te passen.

De 10 stappen naar GDRP

En dan? Hoe kan een organisatie voldoen aan de GDPR? En wat als een organisatie er niet aan voldoet? In deze blog worden de 10 stappen beschreven hoe een organisatie aan de nieuwe GDPR/AVG kan voldoen.

1. Bewustwording

Alles begint bij bewustwording. Weet wat de impact is van de AVG op de beleidsvoering van de organisatie. Welke diensten en processen hebben te maken met de AVG?

Organisatie moeten hun personeel gaan trainen en opleiden. En dit moet herhaald worden zodat mensen zich constant bewust blijven. Zo kom je naar een hoger security plan.

2. Rechten van betrokkenen

De betrokkenen zijn in dit geval de mensen van wie de organisatie persoonsgegevens (data) verwerkt. Iedereen heeft namelijk recht op bijvoorbeeld het verwijderen van persoonsgegevens als hij of zij dat wil. De organisatie die de gegevens verwerkt moet hier gehoor aan geven.

Maar ook het inzien van de gegevens die verwerkt worden hoort hierbij. Wordt hier geen gehoor aan gegeven dan kan iemand een klacht indienen bij de Autoriteit Persoonsgegevens (AP) en deze is weer verplicht de klacht te behandelen.

Ook dataportabiliteit hoort onder deze stap: het kunnen doorgeven van data van de ene organisatie naar de andere moet op een gemakkelijke wijze kunnen.

3. Overzicht verwerkingen

Een organisatie moet weten welke persoonsgegevens er verwerkt worden. Het moet geheel transparant zijn (voor verwerker en betrokkene) waarom dit gedaan wordt (het doel) en met wie (derde partijen) deze gegevens gedeeld worden. Iedere organisatie die persoonsgegevens verwerkt moet gedocumenteerd hebben hoe dit proces verloopt. De organisatie moet kunnen aantonen dat zij handelen volgens de AVG. Zie dit als de documentatieplicht.

Ook wanneer iemand vraagt gegevens te wijzigen of te verwijderen dan moet dit niet alleen bij de organisatie gedaan worden waar deze vraag neergelegd wordt maar ook bij de organisatie waarmee de gegevens worden gedeeld.

4. Data Privacy Impact Assessment (DPIA)

Wanneer er een verhoogd privacyrisico is kan het nodig zijn dat er onder de AVG een Data Privacy Impact Assessment moet worden uitgevoerd. Dit kan wanneer er bijvoorbeeld:

  • profiling plaatsvindt;
  • op een grote schaal bijzondere persoonsgegevens (gezondheid, politieke opvattingen, strafrechtelijke verleden) worden verwerkt;
  • op een grote schaal personen gevolgd worden in het publieke domein.

Een organisatie is verplicht een DPIA uit te voeren als gegevensverwerking een (waarschijnlijk) verhoogd privacyrisico bevat. Het is van belang dat de resultaten die uit de DPIA komen aangepakt worden. Lukt dit niet? Dan moet dit bij de AP gemeld worden en kan er worden beoordeeld of de huidige manier van gegevensverwerking in strijd is met de AVG.

5. Privacy by design & privacy by default

Hoewel bewustzijn (stap 1) zorgt dat de organisatie zich bewust wordt van de mogelijke gevaren met betrekking tot het verwerken van persoonsgegevens is het goed om privacy te embedden in het ontwikkelen van diensten of producten. Als een organisatie een product ontwikkelt is het van belang dat privacy vanaf het ontwerp wordt meegenomen in de ontwikkeling van het product. Privacygevoelige data moet vanaf het begin worden beschermd.

Privacy by default moet er juist voor zorgen dat persoonsgegevens beschermd worden door maatregelen te nemen die er voor zorgen dat standaard alleen die gegevens verwerkt worden die daadwerkelijk van belang zijn. Niets meer. Zo kan het doel (stap 3) veel beter gesteld worden (waarom verzamel je gegevens? En waarom juist deze?). Denk bijvoorbeeld aan websites die standaard vinkjes aan hebben staan bij “nieuwsbrief ontvangen”.Dit mag straks niet meer. En ook als iemand een nieuwsbrief wil ontvangen mogen alleen die gegevens gevraagd worden die voor het ontvangen van deze nieuwsbrief van belang zijn.

Bij iedere stap in het ontwerpen van bijvoorbeeld nieuwe software moet worden nagedacht over de privacy van de gegevens die worden verwerkt.

6. Functionaris voor de gegevensbescherming

Het kan nodig zijn om een Functionaris voor de gegevensverwerking (FG) aan te stellen. Overheidsinstanties en publieke organisaties zijn dit overigens verplicht. Denk aan:

  • Rijksoverheid;
  • Provincies;
  • Gemeenten;
  • Zorginstellingen;
  • Onderwijsinstellingen.

De FG kan intern worden aangesteld maar het kan ook iemand zijn die vanuit een externe organisatie wordt aangesteld. Dit is aan de organisatie zelf.

7. Meldplicht datalekken

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Alle organisaties waar een ernstig datalek is moeten dit melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen waarvan de data gelekt is. Ieder kwartaal (vanaf 2017) wordt er een lijst gepubliceerd met de gemelde datalekken. De meldplicht datalekken geeft aan dat alle datalekken verplicht moeten worden gedocumenteerd. Hiermee controleert de AP of er voldaan is aan deze meldplicht.

8.  Bewerkersovereenkomsten

Organisaties die niet zelf de verzamelde persoonsgegevens verwerken maar dit uitbesteden zijn met de AVG verplicht een bewerkersovereenkomst te hebben. Dit was al het geval maar er moet gekeken worden of deze contracten die er nu zijn afdoende zijn met betrekking tot de AVG.

9. Leidende toezichthouder

Een organisatie die meerdere vestigingen heeft in één of meer EU-lidstaten hoeft volgens de AVG nog maar met één privacytoezichthouder rekening te houden. Dit is dan de leidende toezichthouder (lead supervisory authority). In regel is dat de EU-lidstaat waar de hoofdvestiging is gevestigd van de organisatie die de persoonsgegevens verwerkt de leidende toezichthouder is.

Uiteraard wordt er samengewerkt tussen de toezichthouders.

10. Toestemming

Alle organisaties die persoonsgegevens verzamelen en verwerken moeten kunnen aantonen dat de verkregen data met toestemming is verkregen. Een organisatie moet kunnen aangeven hoe dit gevraagd, verkregen en geregistreerd is. Het moet andersom voor een persoon ook gemakkelijk zijn om de volledige toestemming weer op te heffen wanneer hierom gevraagd wordt aan de organisatie die gegevens verzamelt.

En wat als je niet GDPR compliant bent?

Dan zijn er de boetes. En die zijn niet mals. De maximale boete is 20 miljoen euro of 4% van de gehele jaarlijkse omzet (wereldwijd). De GDPR/AVG komt eraan. Wees voorbereid.