Nieuwe Privacywet!

Op 25 mei 2018 treedt de nieuwe Algemene Verordening Gegevensbescherming in werking (ook wel de Privacywet of AVG). De AVG is van toepassing op activiteiten van ondernemingen in de EU die persoonsgegevens verwerken, ongeacht of de verwerking zelf binnen de EU plaatsvindt. U verwerkt persoonsgegevens indien u deze gegevens verzamelt, vastlegt, ordent, bewaart, bijwerkt, wijzigt, opvraagt, raadpleegt gebruikt, etc. Iedere handeling met betrekking tot persoonsgegevens is verwerking van persoonsgegevens. U zult dus als snel als onderneming persoonsgegevens verwerken.

Zodra de AVG van toepassing is, hebben ondernemers meer verplichtingen bij het verwerken van persoonsgegevens. De nadruk wordt namelijk meer gelegd op de verantwoordelijkheid van de organisatie om aan te tonen dat zij zich aan de wet houdt. Met documenten moet kunnen worden aangetoond dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. Daar staat wel tegenover dat verwerking van persoonsgegevens niet meer bij de Autoriteit Persoonsgegevens gemeld hoeft te worden.

Om u voor te bereiden op de nieuwe Privacywet volgt hierna een checklist waarin wordt beschreven waarmee rekening dient te worden gehouden bij het verwerken van persoonsgegevens onder de AVG.

Interne toezichthouder

Allereerst dient te worden nagegaan of u verplicht bent een functionaris gegevensbescherming (FG) aan te stellen. Een functionaris gegevensbescherming is een interne toezichthouder op de verwerking van persoonsgegevens. Hij houdt toezicht op de toepassing en naleving van de privacywetgeving.

Het aanstellen van een functionaris is verplicht als u een overheidsinstantie of publieke instelling bent, als u vanuit uw kerntaak op grote schaal individuen regelmatig en stelselmatig observeert en als u zich vanuit uw kerntaak bezig houdt met het op grote schaal verwerken van bijzondere persoonsgegevens. Hierbij kan gedacht worden aan gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook iemand zijn BSN-nummer valt onder de categorie bijzondere persoonsgegevens.

Mocht u niet verplicht zijn een functionaris aan de stellen, dan kunt u dit altijd vrijwillig doen. Dit kan interessant zijn, omdat een functionaris gegevensbescherming uw organisatie ondersteuning biedt bij bijvoorbeeld het in kaart brengen van de risico’s bij het verwerken van persoonsgegevens.

Register persoonsgegevens

De ondernemer moet in kaart brengen welke persoonsgegevens zullen worden verwerkt en waarvoor. Al deze verwerkingen dienen in een register bijgehouden te worden. Inventariseren dus!

 

In het verwerkingsregister dienen de volgende gegevens te worden opgenomen:

  • de naam en contactgegevens van uw onderneming of de vertegenwoordiger van uw onderneming;
  • de naam en contactgegevens van eventuele ondernemingen waarmee u samen gegevens verwerkt;
  • de naam en contactgegevens van de FG ;
  • de doelen waarvoor gegevens worden verwerkt;
  • een beschrijving van de categorieën van betrokkenen van wie u gegevens verwerkt;
  • een beschrijving van de categorieën van persoonsgegevens die u verwerkt;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.

 

Om uzelf voor te bereiden op de AVG kunt u uzelf de vraag stellen welke processen en protocollen er reeds binnen uw onderneming zijn ingevoerd, welke beveiligingsmaatregelen u al hebt getroffen en of u al rekening houdt met Privacy by design en Privacy bij default.

 

Privacy by design en Privacy by default

Privacy by design en Privacy by default is in de AVG verplicht gesteld voor verwerkers van persoonsgegevens. Deze concepten dienen er toe om privacy al vanaf het moment van ontwikkeling zoveel mogelijk te integreren in diensten en producten. Privacy by design houdt in dat uw onderneming al tijdens de ontwikkeling van producten en diensten aandacht besteedt aan privacyverhogende maatregelen. Privacy by default houdt in dat privacy de standaard instelling is van een product of dienst en de gebruiker er zelf voor kan kiezen om persoonsgegevens te delen.

 

Privacyrisico’s.

Indien uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen, bent u verplicht een Data protection impact assessment (DPIA) uit te voeren. Een DPIA is een hulpmiddel om vooraf de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van degene wiens persoonsgegevens worden verwerkt in kaart te brengen en deze risico’s vervolgens te verkleinen door maatregelen te nemen.

 

Privacybeleid

Na inventarisatie dienen de verschillende soorten verwerkingen te worden beschreven in een privacybeleid dat op de website van de ondernemer wordt geplaatst. In bepaalde gevallen is het opstellen van een privacybeleid verplicht. Dit is het geval indien de aard, de omvang, de context en het doel van de gegevensverwerking dit noodzakelijk maakt. Indien u stelselmatig gegevens verwerkt of indien u bijzondere persoonsgegevens verwerkt, dan bent u sowieso verplicht een beleid op te stellen. Ziekenhuizen, gemeenten en social mediabedrijven zijn bijvoorbeeld verplicht om een beleid op te stellen.

Door het opstellen van een gegevensbeschermingsbeleid kunt u ook makkelijker aan de verantwoordingsplicht voldoen. De volgende onderdelen kunt u opnemen in het gegevensbeschermingsbeleid:

  • Dataminimalisatiebeleid
  • Beveiligingsbeleid
  • Beleid datalekken
  • Beleid omtrent de rechten van de betrokkenen
Dataminimalisatiebeleid

In dit beleid beschrijft u hoe u aan de beginselen van Privacy by design en Privacy by default voldoet.

Beveiligingsbeleid

In dit beleid beschrijft u welke beveiligingsmaatregelen u treft om de verwerking van persoonsgegevens te beveiligen.

Beleid datalekken

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of het vrijkomen van persoonsgegevens zonder dat dit de bedoeling is van de organisatie. Een datalek omvat bijvoorbeeld een verkeerd geadresseerde e-mail of het verlies van een laptop met persoonsgegevens. In het beleid datalekken bepaalt u welke stappen u neemt op het moment dat uw organisatie wordt geconfronteerd met een datalek, welke informatie u dient te verzamelen, vast te leggen en/of te melden en wie binnen de organisatie verantwoordelijk is voor de uitvoering van het beleid.

Beleid omtrent de rechten van de betrokkenen

Onder de AVG hebben betrokkenen een aantal rechten. Het betreft het recht om in te zien, te wijzigen, vergeten te worden, gegevens over te dragen en het recht op informatie. Uw organisatie moet er op voorbereid zijn dat betrokkenen deze rechten zullen uitoefenen. In het beleid kunt u vastleggen hoe u gaat voldoen aan deze rechten.

Ook moet worden geborgd dat de betrokkene vooraf toestemming geeft voor verwerking. Dat kan door middel van een klik op een vakje op de webpagina waarop de betrokkene persoonsgegevens invult.  Dit vakje mag dan niet al standaard ingevuld zijn. Het is van belang dat de betrokkene kennis kan nemen van het privacybeleid en dat hij (actief) toestemming verleent voor verwerking van zijn persoonsgegevens.

Doel en grondslag

Niet met iedere reden mogen persoonsgegevens worden verzameld. Om rechtmatig persoonsgegevens te verwerken moet u een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel hebben. De grondslagen waarop persoonsgegevens verzameld mogen worden zijn de volgende: toestemming van de gebruiker, vitale belangen, wettelijke verplichting, overeenkomst, algemeen belang en gerechtvaardigd belang. U doet er dus goed aan om te bepalen op welke grondslag u persoonsgegevens verzamelt.


Evaluatie

Omdat de AVG strenge eisen aan de toestemming stelt, is het van belang dat u evalueert hoe u toestemming vraagt, krijgt en registreert. U kunt zo bepalen of u (nog) voldoet aan de eisen van de AVG en u kunt zo nodig uw werkwijze aanpassen.

 

Informatie verschaffen aan de betrokkene

U hebt op grond van de AVG een informatieplicht en dient betrokkenen duidelijke informatie te geven over de persoonsgegevens die u verwerkt en voor welk(e) doel(en) u deze gegevens verwerkt. U dient de betrokkene te informeren op het moment dat de persoonsgegevens worden verzameld. Om aan deze verplichting te voldoen kunt u een privacyverklaring opstellen en deze bijvoorbeeld op uw website plaatsen. De privacyverklaring dient u zo op te stellen dat deze alle op grond van de AVG verplichte informatie bevat. Daarnaast dienst de informatie toegankelijk en begrijpelijk te zijn en de taal die u gebruikt moet duidelijk en eenvoudig zijn.

 

Bewerkers- en verwerkersovereenkomsten

Een verwerker is een derde die ten behoeve van uw organisatie persoonsgegevens verwerkt. U bent verplicht om met hen een overeenkomst aan te gaan. De volgende punten dienen in de overeenkomst te worden opgenomen: een algemene beschrijving, de instructies met betrekking tot de verwerking, een geheimhoudingsplicht, hoe de beveiliging is geregeld, de gegevens van de eventuele subverwerkers, de verplichtingen met betrekking tot de privacyrechten, hoe de verplichtingen van de verwerkingsverantwoordelijke, uw onderneming, worden nagekomen, hoe en wanneer de gegevens verwijderd worden, wanneer en hoe audits plaatsvinden.

 

Bewaartermijn

De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor ze zijn verzameld. Er staat geen concrete bewaartermijn in de AVG. Een aantal andere wetten schrijven wel specifieke bewaartermijnen voor. Een kopie van het ID-bewijs van een werknemer bijvoorbeeld, dient de werkgever vijf jaar te bewaren na einde dienstverband.

 

Boetes

Op grond van de AVG kunnen de volgende boetes worden opgelegd van maximaal 10.000.000 tot 20.000.000 euro of 2% tot 4% van de wereldwijde jaaromzet, afhankelijk van het soort overtreding. Indien u een boete wilt voorkomen, kunt u dit stappenplan doorlopen om uw organisatie AVG-proof te maken.