Zoek Alle vacatures

Stappenplan om uw organisatie AVG-proof te maken

Door: REEF / 01 mei 2018 / REEF geeft raad

Vanaf 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens geldt dan niet meer. REEF geeft Raad heeft een handig stappenplan gemaakt om uw organisatie AVG-proof te maken. 

     
    

Kennisbijeenkomst AVG voor woningcorporaties

Weet u waar u vanaf 25 mei rekening mee dient te houden als woningcorporatie in kader van de AVG? Gegevens van individuele huurders delen kan tenslotte van het grootste belang zijn voor het leefbaar houden van een wijk en het tegengaan van overlastsituaties, maar wat mag wel en wat mag niet meer? Tijdens deze REEF-deelt-kennisbijeenkomst op 17 mei op de High Tech Campus Eindhoven leidt Albert Jan de Vries de discussie over onder andere deze vragen

REEF - inschrijven

 
     


De belangrijkste wijziging in de nieuwe privacyrechten gaan verder dan de huidige rechten die personen genieten op grond van de Wet bescherming persoonsgegevens. Dit betekent voor organisaties dat ze dit op organisatieniveau zullen moeten gaan regelen. De belangrijkste stappen zijn:

  1. Bewustwording: de relevante werknemers binnen de organisatie moeten qua kennis op de hoogte worden gebracht van de gevolgen van de nieuwe privacyregels. Deze werknemers (leidinggevenden, beleidsmakers) kunnen dan een inschatting maken wat de impact van de AVG is op de huidige processen binnen de organisatie. Houd er rekening mee dat er boetes kunnen worden opgelegd tot 20 miljoen euro of maximaal 4% van de wereldwijde omzet.
  2. Rechten: Als er persoonsgegevens verwerkt worden dan krijgen de personen waar het om gaat meer rechten. De bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering worden aangevuld met rechten zoals het recht op dataportabiliteit. Met dit recht moet u het voor personen mogelijk maken dat ze eenvoudig toegang krijgen tot de gegevens en deze eenvoudig kunnen doorgeven aan een andere organisatie.
  3. Overzicht: Breng in kaart welke processen binnen de organisatie persoonsgegevens verwerken en breng in kaart met welk doel de organisatie deze gegevens in kaart brengt, waar deze gegevens vandaan komen en met welke (externe) partijen deze gegevens worden gedeeld. Er komt namelijk een verantwoordingsplicht wat betekent dat u als organisatie moet kunnen aantonen dat u conform de AVG handelt. Dit overzicht is tevens van belang om te voldoen aan een verzoek van een persoon om gegevens te verwijderen of te corrigeren, u dient dit verzoek immers door te zetten naar de partijen waarmee u deze gegevens deelt. Per categorie van gegevens dient u ook vast te stellen op basis van welke grondslag u de gegevens verwerkt (wettelijke grondslag, gerechtvaardigd belang of heeft u toestemming gekregen?).
  4. Data protection impact assessement (DPIA): op grond van de AVG kan uw organisatie verplicht zijn om een DPIA te laten uitvoeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Een DPIA is verplicht als de gegevensverwerking een hoog privacyrisico met zich meebrengt, denk aan de verwerking van medische gegevens door een ICT-leverancier.
  5. Privacy by design en privacy by default: De AVG gebruikt deze twee uitgangspunten ten aanzien van privacygevoelige informatie. Bij design betekent dat voor ieder nieuw proces dat gegevensverwerking met zich meebrengt bij het ontwerp al gekeken wordt naar de mate waarin de persoonsgegevens beschermd worden. Privacy by default betekent dat u enkel de noodzakelijke data verzamelt die nodig is voor het specifieke doel dat u wilt gebruiken. Een voorbeeld is dat u niet op voorhand het vakje ‘ja ik wil aanbiedingen ontvangen’ op uw webpagina aanvinkt voor de gebruiker maar dat u dat de gebruiker zelf laat doen.
  6. Functionaris voor de gegevensbescherming: de AVG kan een organisatie verplichten om een specifieke functionaris aan te stellen voor de gegevensbescherming. Begin nu al met werven, onze zusterorganisatie REEF kan u daarbij van dienst zijn. Een functionaris is verplicht, indien u een overheidsorganisatie of publieke instelling bent; als uw organisatie veel personen volgt en dat dit tot de kernactiviteiten van de organisatie behoort (Google/Facebook) en als uw organisatie bijzondere persoonsgegevens verwerkt, denk aan bijvoorbeeld het BKR te Tiel.
  7. Meldplicht datalekken: Op grond van de Wet bescherming persoonsgegevens was er al een meldplicht bij de autoriteit indien er sprake was van een ernstig datalek. Dit blijft op grond van de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de eigen registratie van datalekken. Deze moeten voortaan op grond van een register geregistreerd worden en dient gedocumenteerd te zijn. De autoriteit kan deze documenten vervolgens verzoeken om te controleren of u aan de meldplicht heeft voldaan.
  8. Bewerkersovereenkomsten: Vanuit de AVG worden de voormalige bewerkers van de gegevens in de toekomst ‘verwerkers’ genoemd. Het gaat hier om leveranciers of externe partijen die uw organisatie gebruikt om persoonsgegevens te verwerken. Met deze partijen dient u afspraken te maken en vast te leggen in verwerkersovereenkomsten.
  9. Toezichthouder: Als uw organisatie in Europa meerdere vestigingen heeft dan hoeft u maar met één privacytoezichthouder zaken te doen. U dient dit op voorhand zelf te bepalen.
  10. Toestemming: toestemming om gegevens te mogen verwerken wordt onder de AVG aan een strengere maatstaf getoetst. Bekijk daarom op welke wijze toestemming wordt gevraagd, hoe u deze krijgt en hoe u deze registreert. Nieuw is bijvoorbeeld dat een organisatie moet aantonen dat er een geldige toestemming is verkregen en dat de betrokkenen op relatief eenvoudige wijze deze toestemming ook weer kunnen intrekken.
Terug
Om deze website goed te laten functioneren maken we gebruik van cookies.
Bekijk ons cookiebeleid.