Nieuwe privacywetgeving Algemene Verordening Gegevensbescherming
In 11 stappen voorbereid op Algemene Verordening Gegevensbescherming, de nieuwe privacywetgeving
Op 25 mei 2018 gaat de nieuwe privacywetgeving Algemene Verordening Gegevensbescherming (AVG) in. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wat verandert er?
Mensen van wie gegevens worden verwerkt krijgen vanaf 25 mei 2018 nieuwe privacyrechten en hun bestaande rechten worden sterker.
Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen.
De nadruk ligt daarbij op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de nieuwe wetgeving houden.
Wat kan ik als bedrijf doen?
1. Bewustwording
Zorg dat de relevante mensen in je organisatie op de hoogte zijn van de regels van de nieuwe privacywetgeving die AVG met zich meebrengt.
Weet wat de impact is van de nieuwe regels op de huidige processen, diensten en goederen.
Breng de benodigde aanpassingen in kaart zodat je aan de AVG voldoet.
2. Rechten van betrokkenen
Onder de AVG krijgen mensen van wie jouw organisatie persoonsgegevens verwerkt meer rechten.
Dit is bijvoorbeeld het recht op inzage en recht op correctie en verwijdering. Met nieuwe rechten zoals dataportabiliteit moeten klanten en medewerkers eenvoudig kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie. Organisaties mogen alleen de informatie van klanten en medewerkers vragen en gebruiken die strikt noodzakelijk is.
Mensen kunnen bij de Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop organisaties met hun gegevens omgaan.
De AP kan jouw organisatie sancties opleggen die flink in de papieren kunnen lopen.
3. Maak overzichten
Het doel van deze overzichten is dat je de totale gegevensverwerking in de organisatie in kaart hebt gebracht.
Maak een overzicht van alle verwerkte persoonsgegevens en registreer waar je deze data vandaan hebt, met welk doel je deze data opslaat en met wie je het deelt.
Vermeld ook op welke wettelijke grondslag je deze gegevens verwerkt. Door de type gegevens en gegevensstromen in kaart te brengen kan je makkelijker een volgende stap maken.
4. Doe een PIA
Een PIA (Private Impact Assessment) kan uitgevoerd worden indien er sprake is van data met een hoog privacy risico.
isource kan je helpen met een veilige manier van opslag en beheer van je privacygevoelige data.
5. Functionaris Gegevensbescherming (FG)
De aanstelling van een FG is verplicht bij organisaties die veel persoonsgegevens verwerken.
Stel vast of dit ook voor jouw organisatie geldt.
6. Meldplicht datalekken
Er bestond al een meldplicht voor datalekken, echter stelt AVG hier nog strengere eisen aan.
Documenteer daarom ieder datalek op een manier waarop AP precies kan zien of je voldoende hebt gedaan om gegevens te beschermen.
7. Uitbesteden gegevensverwerking
Indien je de gegevensverwerking uitbesteedt aan derden, dan is het van belang dat de overeengekomen maatregelen in de bestaande contracten nog voldoen aan de vereisten van AVG.
Als dat niet het geval is zullen daar noodzakelijke wijzigingen in aangebracht moeten worden.
8. Privacy by design en privacy by default
Maak je organisatie nu al vertrouwd met de onder AVG verplichte uitgangspunten van privacy by design en privacy by default.
Privacy by design houdt in dat er bij het ontwerpen van producten en diensten al rekening wordt gehouden dat persoonsgegevens goed worden beschermd.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om er voor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:
- Registreren locatie van een gebruiker binnen een app als dat niet noodzakelijk is voor gebruik
- Op de website “Ja, ik wil graag de nieuwsbrief ontvangen” niet vooraf aanvinken
- Niet meer gegevens vragen dan nodig indien iemand zich wil abonneren of in wilt schrijven
9. Eén toezichthouder
Heb je vestigingen in meerdere EU-lidstaten of hebben je gegevensverwerkingen in meerdere lidstaten impact?
Dan hoef je onder de nieuwe privacywetgeving AVG nog maar met één privacytoezichthouder zaken te doen. Zorg dat je weet wie jouw leidende toezichthouder is.
10. Toestemming vragen
De nieuwe privacywetgeving AVG legt strenge regels op als het gaat over de wijze waarop je toestemming vraagt, krijgt en registreert.
Klanten moeten eenvoudig toestemming geven en weer in kunnen trekken. Als organisatie moet je snel kunnen bewijzen dat je geldig toestemming hebt verkregen.
Dit moet een wendbaar proces zijn, waarbij het gebruiksgemak van de consument voorop staat.
Formulieren en informatiesystemen dienen dus goed gecontroleerd te worden en eventueel aangepast aan de nieuwe AVG eisen.
11. Wat betekent dit voor mijn app of website?
De nieuwe privacywetgeving kan betekenen dat er aan een app of website aanpassingen gedaan moeten worden zodat deze aan de eisen van de AVG voldoen.
Vraagt jouw app bijvoorbeeld om toegang tot de foto’s van de gebruiker en is dat voor gebruik van de app niet relevant? Dan kan het zijn dat die toegang afgesloten dient te worden.
Heb je een website of webshop en staat de aanmelding voor een nieuwsbrief standaard aangevinkt? Dan is de kans groot dat er een aanpassing gedaan moet worden.
Vraagt je webshop om de geboortedatum van de klant? Als dit geen relevante informatie is om de aankoop te kunnen doen, dan is de kans groot dat we dit veld moeten verwijderen.
Tot slot
Heb je een app of website door isource laten ontwikkelen? Neem dan contact met ons op en zorg dat jouw app of website aan de AVG eisen voldoet!
Zie ook de website van Autoriteit Persoonsgegevens voor meer informatie.