Maak uw onderneming AVG-proof!

13 april 2018

Op 25 mei 2018 vervangt de Europese Algemene verordening gegevensbescherming (AVG) de Nederlandse Wet bescherming persoonsgegevens (Wbp). Door deze verandering moeten alle organisaties in Nederland aan de bepalingen in de AVG voldoen. In deze blog geven wij u de eerste tips om uw organisatie AVG-proof te maken.

Wat verandert er?
De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. De nadruk komt te liggen op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Als organisatie kunt u nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Deze stappen hebben betrekking op de belangrijkste wijzigingen, waaronder:
– het vastleggen waarom u persoonsgegevens van betrokkenen verwerkt;
– het vragen van toestemming aan betrokkenen voor de verwerking van deze persoonsgegevens als er geen gerechtvaardigd belang is;
– het bijhouden van een register wat u doet met deze persoonsgegevens;
– het nemen van technische en organisatorische maatregelen voor een veilige verwerking van de persoonsgegevens, waarbij alleen die persoonsgegevens worden verwerkt die voor het specifieke doel nodig zijn;
– het registreren van en communiceren over alle situaties waarbij persoonsgegevens op een verkeerde plek zijn terechtgekomen (datalekken);
– het zorgdragen voor toereikende afspraken in een verwerkingsovereenkomst, als u de verwerking van persoonsgegevens hebt uitbesteed.

Rechten van betrokkenen
Om uw organisatie voor te bereiden op de AVG is het belangrijk dat u ervoor zorgdraagt dat de betrokkenen hun meer en verbeterde privacyrechten kunnen uitoefenen. Denk hierbij aan de bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering, maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit.

Dit laatste houdt in dat betrokkenen straks het recht hebben om hun persoonsgegevens in een standaardformaat te ontvangen, zodat zij hun gegevens gemakkelijk kunnen doorgeven aan een andere leverancier van dezelfde soort dienst. Het is op grond van de AVG zelfs zo dat u op verzoek van een betrokkene persoonsgegevens direct moet doorsturen naar een andere organisatie, mits dit technisch mogelijk is.

Data protection impact assessment
Onder de AVG kunt u verplicht zijn om een data protection impact assessment (DPIA) uit te voeren, als uw beoogde gegevensverwerking waarschijnlijk een hoog privacy risico met zich meebrengt. Met dit assessment wordt vooraf de impact van de verwerking van persoonsgegevens binnen een organisatie gemeten. Daarbij wordt onderzocht of een alternatieve aanpak mogelijk is met een lager risico. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Functionaris voor de gegevensbescherming
Het kan zijn dat u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Een FG treedt binnen een organisatie op als interne toezichthouder op de AVG. Hij is bijvoorbeeld verantwoordelijk voor het ontwikkelen van interne regelingen en het bijhouden van meldingen van gegevensverwerking. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG.

Gevolgen niet of niet correcte naleving
Het is van groot belang om de privacyregelgeving van de AVG na te leven. Doet u dit niet dat kan de Autoriteit Persoonsgegevens (AP) u een boete opleggen wegens overtreding. Deze boete kan oplopen tot maximaal €20 miljoen of 4% van uw omzet. Daarnaast kunt u ernstige reputatieschade oplopen als de media meldt dat u onvoldoende maatregelen heeft getroffen om de privacy van de betrokkenen te waarborgen.

Om deze boete en schade te voorkomen willen wij u graag helpen om uw onderneming AVG-proof te maken. Wilt u meer informatie of kunnen wij u van dienst zijn op dit gebied, neem dan contact op met een van onze advocaten!

Bron: Autoriteit Persoonsgegevens