Vanaf 25 mei 2018 geldt er één centrale privacywet voor de verwerking van persoonsgegevens in de EU. Deze AVG heeft grote impact op alle Europese bedrijven, dus ook die van jou. Benieuwd wat deze nieuwe wet inhoudt en waar je aan moet voldoen om een (torenhoge) boete te voorkomen? Onze collega Sebastiaan zocht het voor ons uit. In dit blog zetten we de belangrijkste zaken voor je op een rij.
Wat is de AVG?
Per 25 mei 2018 is de nieuwe Algemene verordening gegevensbescherming (AVG) van kracht en is de Wet bescherming persoonsgegevens (Wbp) niet langer actief. Deze nieuwe privacywetgeving, ook wel bekend als de General Data Protection Regulation (GDPR), geldt voor alle lidstaten van de EU en zorgt daardoor voor een uniform beleid op het gebied van gegevensbescherming. Het doel van deze wet is om de privacy van burgers te waarborgen en ze te beschermen tegen ongewenste en onrechtmatige inbreuk hierop.
Zo zorgt de AVG onder andere voor:
- Versterking en uitbreiding van privacyrechten
- Meer verantwoordelijkheden voor organisaties
- Uniforme bevoegdheden voor alle Europese privacytoezichthouders
Belangrijk om te melden is dat de nieuwe Europese privacywet voor ieder bedrijf geldt, dus van ZZP’er tot grote multinational; niemand ontkomt aan de AVG.
Welke gevolgen heeft de GDPR voor bedrijven en organisaties?
Als bedrijf of organisatie merk je op verschillende manieren de impact van de Algemene verordening gegevensbescherming. Een van de belangrijkste hierbij is de verantwoordingsplicht. Dit houdt in dat je met documenten moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de privacywetgeving te voldoen. Tegelijkertijd worden echter wel instrumenten geboden om de wet eenvoudiger na te leven, waaronder modelbepalingen voor doorgifte van persoonsgegevens.
Naast de verantwoordingsplicht veranderen met de invoering van de AVG op 25 mei de volgende zaken:
- Je hoeft verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens
- Je kunt verplicht zijn een Data Protection Impact Assessment (DPIA) te doen
- Mogelijk ben je verplicht om een functionaris voor de gegevensbescherming aan te stellen
- Bij overtreding krijg je een boete die kan oplopen tot 4% van je bedrijfsomzet (met een maximum van 20 miljoen euro)
Een voordeel van de wet is dat nu voor alle bedrijven in de EU dezelfde wet geldt en er dus geen scheve situaties rondom gegevensverwerking ontstaan. Vooral ook handig als jouw organisatie in meerdere landen actief is.
Hoe mag je dan wel persoonsgegevens verzamelen?
Vanaf 25 mei 2018 wordt de verzameling van persoonsgegevens dus aan banden gelegd. Toch betekent dit niet dat je niets meer met de gegevens van (potentiële) klanten mag of kunt. In de basis mag je in de volgende situaties persoonsgegevens verzamelen en verwerken:
- Met toestemming van de gebruiker
- Bij vitale belangen
- Bij wettelijke verplichting
- Bij een overeenkomst
- Als dit voor het algemeen belang dient
- Bij gerechtvaardigd belang
Uiteraard geldt bij elk van deze situaties dat de gegevensverwerking veilig en volgens de AVG moet gebeuren. Daarbij hebben betrokkenen het recht om in te zien, te wijzigen, vergeten te worden, gegevens over te dragen en het recht op informatie.
Stappenplan AVG: in 10 stappen voorbereid op de privacywetgeving
Het is dus essentieel om je organisatie goed voor te bereiden op de invoering van de AVG. Daarom helpen we je graag op weg met onderstaand stappenplan.
Stap 1: Bewustwording AVG
Betrek relevante personen bij het nieuwe beleid rondom de privacywetgeving en schat de impact van de AVG op je processen in.
Stap 2: recht van betrokkenen
Door de AVG krijgen personen van wie je gegevens verwerkt meer privacyrechten. Zorg ervoor dat ze deze rechten zoals het recht op inzage en/ of verwijdering goed kunnen uitoefenen.
Stap 3: overzicht verwerkingen
Breng de gegevensverwerking binnen je organisatie in kaart. Documenteer welke persoonsgegevens je deelt, wat het doel is, waar de gegevens vandaan komen en met wie je ze deelt. Dit is belangrijk om de eerder genoemde verantwoordingsplicht na te leven.
Stap 4: data protection impact assessment
Een data protection impact assessment is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Hiermee breng je vooraf de privacyrisico’s van de gegevensverwerking in kaart en bekijk je welke maatregelen nodig zijn om deze te beperken. Kun je geen maatregelen vinden? Dan zal je met de Autoriteit Persoonsgegevens moeten overleggen voordat je met de verwerking start.
Stap 5: privacy by design & privacy by default
Zorg dat je de verwerking van persoonsgegevens al direct bij de basis goed regelt. Dit doe je door bij het ontwerpen van producten en diensten hier al rekening mee te houden. Zorg daarnaast dat de technische middelen die je inzet (bijvoorbeeld een app) enkel de persoonsgegevens verzamelt en verwerkt die noodzakelijk zijn om het doel te bereiken. In de praktijk wordt dit ook wel privacy by design en privacy by default genoemd.
Stap 6: functionaris van de gegevensbescherming
Check of een functionaris van de gegevensbescherming verplicht is voor jouw organisatie. Meer hierover lees je op Autoriteitpersoonsgegevens.nl.
Stap 7: meldplicht datalekken
Aan de meldplicht datalekken verandert weinig. Wel komen er strengere eisen aan de eigen registratie van datalekken binnen je organisatie. Deze dien je allemaal te registreren. Op basis hiervan moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.
Stap 8: verwerkersovereenkomsten
(Her)evalueer of de verwerkersovereenkomsten die je met derden hebt (bv. bedrijven waar je mee samenwerkt) nog aan de nieuwe regels voor gegevensverwerking voldoen. Meer over deze eisen lees je hier.
Stap 9: leidende toezichthouder
Als je organisatie vestigingen in meerdere EU-landen heeft of de gegevensverwerking impact op meerdere lidstaten heeft, hoef je maar met één privacytoezichthouder te werken. Bepaal indien relevant welke leidende toezichthouder dit voor jouw bedrijf is.
Stap 10: toestemming
De AVG stelt strengere eisen aan gegevensverwerking. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Houd er hierbij rekening mee dat je vanaf 25 mei ook moet kunnen aantonen dat je geldige toestemming hebt gekregen om de persoonsgegevens te verwerken én dat het gemakkelijk moet zijn om deze toestemming weer in te trekken.
Jouw klantdata in goede handen
Het mag duidelijk zijn dat je als bedrijf op 25 mei 2018 écht klaar moet zijn voor de invoering van de nieuwe privacywet. Ook bij DCP zijn we hier druk mee bezig aangezien we voor veel bedrijven persoonsgegevens verwerken en veel met verwerkersovereenkomsten werken.
Bij DCP gaan we echter nog een stap verder dan de AVG. Zo zijn we bezig om de ISO 27001 norm te implementeren. Deze stelt nog hogere eisen dan de privacywet en zorgt ervoor dat we de persoonsgegevens van jouw klanten in alle stappen van de verwerking optimaal en volgens de regels beschermen.
Hiervoor hebben we onder andere recent de ISO 27001 training van de NEN gevolgd zodat we alles weten over de gestelde eisen en de implementatie ervan. Ook is er een specialist bij ons aanwezig om de AVG implementatie te begeleiden zodat we al ruim voor de ingangsdatum van de AVG klaar zijn.
Proactief over veilige gegevensverwerking
Ook hierbij vervullen we onze proactieve rol. Zo behouden we persoonsgegevens enkel zo lang als strikt noodzakelijk en informeren we klanten die onnodig veel data aanleveren. Want ook al zijn we niet rechtstreeks eindverantwoordelijk voor de persoonsgegevens van onze klanten, we voelen ons wel verantwoordelijk.
Daarom werken we met de encryptiesoftware Kleopatra en raden we onze klanten aan om bijvoorbeeld databases met klantgegevens rechtstreeks op onze (S)FTP server te plaatsen. Vooral bij de eerste zijn gegevens dusdanig versleuteld dat zelfs de Enigma er nog geen toegang tot zou hebben. Veiligheid boven alles.
Meer weten over de AVG?
Wil je meer weten over de AVG en de manier waarop jouw organisatie het best met de nieuwe privacywet kan omgaan? Neem dan vrijblijvend contact met ons op. We vertellen je er graag meer over. En bekijk het DCP blog over de laatste ontwikkelingen en handige tips.