De AVG: in 6 stappen een boete voorkomen

De AVG vervangt daarmee de oude EU-privacyrichtlijn en onze Wet Bescherming Persoonsgegevens (Wbp) komt eveneens te vervallen. Gezien de directe werking van deze EU-verordening, zal u met ingang van mei 2018 meteen moeten voldoen aan deze nieuwe regels. U heeft dus nog maar een half jaar om u daarop voor te bereiden. In deze blog legden we u uit wat de AVG voor u betekent. In deze blog zullen we u in 6 stappen helpen een boete te voorkomen. Deze boete kan oplopen tot een bedrag van € 20.000.000,- of 4% van de wereldwijde jaaromzet.

Stap 1: Verwerkersovereenkomst

Het is onder de AVG verplicht dat de verwerkingsverantwoordelijke (voorheen verantwoordelijke) en de verwerker (voorheen bewerker) een verwerkersovereenkomst afsluiten. Dit is niet nieuw. Het sluiten van een bewerkersovereenkomst was ook onder de Wbp al verplicht. In deze blog leggen we uit waarom het sluiten van een verwerkersovereenkomst belangrijk is en aan welke vereisten deze overeenkomst moet voldoen.

Belangrijke onderwerpen uit de AVG zijn doelbinding en het inschakelen van subverwerkers. Bij doelbinding gaat het erom dat een verwerker alleen persoonsgegevens verwerkt voor zover dat in lijn is met de doelen die de verwerkingsverantwoordelijke heeft gesteld. Daarnaast heeft een verwerker die een subverwerker wilt inschakelen daarvoor de voorafgaande toestemming van de verwerkingsverantwoordelijke nodig. Ook moet de verwerker er dan voor zorgen dat de subverwerker zich aan dezelfde afspraken houdt als de verwerker.

Stap 2: Rechten van betrokkene

De AVG kenmerkt zich door de focus op transparantie. Daar horen versterking en uitbreiding van de privacyrechten van de betrokkene bij. Naast het bekende recht op verzet, inzage en rectificatie (art. 35 Wbp), krijgt de betrokkene er in de AVG nog twee rechten bij: 1. The right to be forgotten en, 2. Het recht op “data-portabiliteit”. U dient zich hier goed op voor te bereiden.

Stap 3: Privacy by design en Privacy by default

De verantwoordelijk moet tijdens het gehele ontwikkelingsproces van producten en diensten privacy als leidraad nemen. Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Privacy by Default betekent dat de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Kort gezegd, uw producten en diensten moeten dus privacy proof ontwikkeld worden en ingesteld zijn.

Stap 4: Meldplicht datalekken

De verplichting tot het melden van datalekken was al opgenomen in de Wbp. In deze blog leggen we uit wat u moet doen bij een datalek.

Stap 5: Privacy officer

De privacy officer was onder de Wbp niet verplicht, maar is dat onder de AVG voor bepaalde bedrijven wel. De privacy officer is een persoon die toeziet op de omgang met persoonsgegevens binnen een organisatie. Ook controleert hij/zij of de organisatie voldoet aan de wet en toepasselijke regelgeving. De privacy officer mag zowel intern als extern aangesteld worden.

De privacy officer wordt verplicht voor overheidsinstanties, maar ook voor organisaties die stelselmatig op grote schaal personen observeren of die op grote schaal bijzondere persoonsgegevens verwerken (zoals medische of strafrechtelijke gegevens).

Stap 6: Privacy Impact Assessment (PIA)

U bent verplicht om een PIA uit te voeren als het verwerken van persoonsgegevens, in het bijzonder met behulp van nieuwe technologieën, risico’s voor betrokkenen inhoudt. Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Een organisatie met minder dan 250 personen in dienst hoeft alleen een register bij te houden bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens), wanneer structureel persoonsgegevens verwerkt worden, of bij het verwerken van gevoelige gegevens.

Mocht u vragen hebben over de gevolgen van de AVG voor uw organisatie. Of heeft u andere privacy gerelateerde vragen? Ik help u graag verder.