De nieuwe Europese privacywet AVG: bent u al voorbereid?

De nieuwe Europese privacywet AVG: bent u al voorbereid?

24-03-2017

Op 28 mei 2018 zal de nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG) ingaan. Eén privacywet die geldt voor de hele EU. Met deze nieuwe wet worden de privacyrechten versterkt, zullen bedrijven nog meer verantwoordelijk zijn voor correcte omgang met gegevens en zullen de boetes bij overtreding van de wet behoorlijk fors zijn. Beperk uw risico’s en zorg voor een goede voorbereiding! Met dit artikel informeren wij u over de nieuwe wet, de veranderingen ten opzichte van de huidige wetgeving en geven we tips voor een goede voorbereiding.

Meer verantwoordelijkheid door de privacywet AVG

Het primaire doel van de AVG is het beschermen van de privacy grondrechten van Europese burgers. Door de komst van de AVG krijgt u meer verantwoordelijkheid en heeft u de plicht om de wet na te leven. U moet goed kunnen aantonen dat u zich aan deze privacywet houdt. Daarom krijgt u een documentatieplicht, waarbij u moet kunnen aangeven dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Wat verandert er door de komst van de AVG?

  • Nu moet u de verwerkingen van persoonsgegevens melden bij de Autoriteit Persoonsgegevens. Met de komst van de AVG hoeft dit niet meer;
  • Het kan zijn dat u wordt verplicht om een Privacy Impact Assesment (PIA) uit te voeren. Hiervoor zal de Autoriteit Persoonsgegevens samen met de andere Europese privacy toezichthouders een lijst opstellen van alle soorten verwerkingen, waarbij u verplicht bent een PIA uit te voeren. Controleer uw mogelijke verplichting voor de PIA en start met een intern beleid hiervoor. Hier leest u meer over de PIA;
  • De AVG introduceert een verplichting tot gegevensbescherming door ontwerp (privacy by design) waarbij u voordat u een dienst of product ontwerpt, al rekening moet houden met de bescherming van persoonsgegevens;
  • Ook nieuw is de verplichting tot gegevensbescherming door standaardinstellingen (privacy by default). Hierbij moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat standaard alleen de persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken;
  • De meldplicht datalekken bestaat al in Nederland. Zodra de nieuwe privacywet ingaat zijn alle Europese organisaties verplicht om datalekken te melden.

Register met verwerkte persoonsgegevens

De bewerker en de verantwoordelijke van de diensten en producten moet een register bijhouden met daarin een beschrijving van de verwerking van persoonsgegevens. Dit register moet altijd actueel en compleet zijn. Voor organisaties met minder dan 250 werknemers geldt deze verplichting niet, tenzij er sprake is van structurele verwerking van persoonsgegevens of aanzienlijke risico’s voor de betrokkenen. Personen hebben het recht om eigen geregistreerde persoonsgegevens in te zien en hiervan een exemplaar te ontvangen. Ook moet uw organisatie persoonsgegevens snel kunnen identificeren, wissen of overdragen indien de eigenaar van de gegevens hierom vraagt.

Expliciete toestemming dataverwerking

De eigenaar van de persoonsgegevens moet expliciet toestemming geven voor de dataverwerking. Daarom moet u de eigenaar vooraf goed informeren over de verwerking van de persoonsgegevens zodat hij of zij deze keuze bewust en vrijwillig kan maken.

Tips voorbereiding op de nieuwe privacywet AVG

  • Zorg ervoor dat u voldoende kennis heeft van de privacywetgeving zodat u weet wat dit betekent voor uw organisatie en hoe u dit toe kunt passen. Heeft u deze kennis niet in huis? Laat u adviseren door een IT Audit professional;
  • Maak inzichtelijk waar binnen uw organisatie de privacy risico’s liggen, welke persoonsgegevens uw organisatie bijhoudt en waar en op welke manier deze worden geregistreerd;
  • Verplaatst u zich eens in uw afnemers en ga na wat uw klant van u verwacht omtrent het omgaan met persoonsgegevens;
  • Ontwikkel een plan om de privacy risico’s te verkleinen;
  • Voer dit plan uit en evalueer periodiek of de risico’s veranderen en of het plan nog past bij de huidige IT-wereld, stuur bij waar nodig;
  • Ga voor uzelf na of uw organisatie een Functionaris voor de Gegevensbescherming (FG) moet aanstellen. Dit geldt voor overheidsinstellingen en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. De aanvankelijke eis dat een FG wordt verplicht voor bedrijven met meer dan 250 werknemers is vervallen.

Voorkom forse boetes!

Houdt u zich niet aan de AVG? Dan kunnen de toezichthouders een boete uitdelen van 4% van de mondiale omzet of 20 miljoen euro! In veel gevallen zal u eerst een waarschuwing of een bindende aanwijzing ontvangen. Bereid u dus goed voor op de nieuwe privacy wetgeving en voorkom een forse boete!

Laat u adviseren

De privacywet (zowel de huidige als de nieuwe) heeft vergaande effecten op elke organisatie. Wilt u graag meer informatie over hoe u de risico’s rondom de gegevensbewerking binnen uw bedrijf kunt minimaliseren? Heeft u ondersteuning nodig bij het inventariseren van gegevens, het maken van een plan omtrent de privacywet AVG binnen uw organisatie en implementatie hiervan? Of wilt u graag meer kennis opdoen over dit onderwerp? Laat u dan adviseren door een van onze IT Audit professionals.

Kijk voor meer informatie ook op onze website: https://kroesewevers.nl/actueel/nieuws/de-nieuwe-europese-privacywet-avg-bent-u-al-voorbereid