Bereid je goed voor op de Algemene Verordening Gegevensbescherming (AVG): 9 tips

Vanaf 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving. Je hebt vast al van deze Algemene Verordening Gegevensbescherming gehoord (AVG of GDPR). Maar hoe tref je als organisatie de juiste maatregelen?

Eerder schreven we al over het hoe en waarom van de AVG, de Europese privacyverordening die ook wel bekendstaat als de General Data Protection Regulation (GDPR).

De AVG vervangt onze Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft grote gevolgen voor bedrijven die persoonsgegevens beheren en verwerken. Ook als je ‘alleen’ telefoonnummers of e-mailadressen van klanten hebt verzameld, moet je diverse maatregelen nemen om aan alle regels in de verordening te voldoen om niet met fikse boetes geconfronteerd te worden.

Toetsen en bewustwording

De Autoriteit Persoonsgegevens (AP) gaat erop toezien dat organisaties zich aan de wet houden. Gelukkig helpt de AP bedrijven ook een stukje op weg, met een uitgebreid stappenplan om zich voor te bereiden op de AVG.

Het orgaan benadrukt zowel het belang van het vastleggen en toetsen van gegevensverwerkingen als het creëren van bewustwording binnen de organisatie. Als betrokkenen niet weten wat de nieuwe privacywetgeving inhoudt, wordt het immers lastig om deze na te leven.

In 9 stappen compliant worden

Voor elk bedrijf dat persoonsgegevens verwerkt – denk aan telefoonnummers, e-mailadressen en medische data – is het belangrijk om na te gaan of aan de bepalingen in de AVG wordt voldaan. De stappen hieronder helpen om op tijd compliant te zijn.

#1. Leg gegevensverwerkingen vast

Wat voor gegevens zijn het, met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard? Breng in kaart hoe er in je bedrijf met persoonsgegevens wordt omgegaan en op welke grondslag de gegevens worden verzameld (en of die grondslag nog wel voldoet).

Organisaties hebben met de komst van de AVG een register- en documentatieplicht. Dus door nu al de flows en verwerkingen in kaart te brengen, maak je hier al aardig wat stappen in.

#2. Creëer bewustwording

Maak duidelijk wat de nieuwe privacyregels inhouden en welke invloed die hebben op de huidige processen, diensten en goederen die het bedrijf levert. Medewerkers moeten weten dat klanten waarvan persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten krijgen.

#3. Integreer privacy by design en default

Gebruik het Privacy by Design Framework van SIDN Fonds om aan dit onderdeel invulling te geven. Privacy by design houdt in dat bij het ontwerp van producten en diensten rekening met de privacy van de gebruiker wordt gehouden en dat geen data wordt verzameld die niet essentieel is voor de werking. Privacy by default vereist dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn.

#4. Maak een protocol voor meldplicht datalekken

Stel een procedure vast voor het (melden) van datalekken, zodat voor iedereen binnen de organisatie duidelijk is welke stappen genomen moeten wanneer er sprake is van een datalek. Elk lek moet binnen 72 uur na ontdekking worden gemeld aan de AP.

#5. Benoem een functionaris gegevensbescherming

Sommige organisaties zijn verplicht een functionaris gegevensbescherming aan te stellen die in de gaten houdt of de organisatie de AVG naleeft. Dit geldt voor overheidsinstanties, publieke organisaties en voor partijen die op grote schaal bijzondere persoonsgegevens verwerken of mensen volgen.

#6. Controleer bewerkersovereenkomsten

De AVG bepaalt dat in een bewerkersovereenkomst meer zaken verplicht moeten zijn opgenomen, met betrekking tot bijvoorbeeld beveiliging en de plichten van de bewerker.
Kwalificeer daarom hosting- en cloudproviders waarmee je als organisatie een contract hebt als bewerker.

Weet waar cloudleveranciers gegevens verwerken en opslaan. En houd er ook rekening mee dat data kan circuleren tussen de verschillende datacenters waar de leverancier van gebruikmaakt.

#7. Herzie de privacyverklaring

Praktisch elke organisatie moet zijn privacyverklaring herzien. Deze moet niet alleen meer gedetailleerde informatie bevatten, maar ook in begrijpelijke taal zijn geschreven. De tekst moet toegankelijk en eenvoudig geschreven zijn als deze bijvoorbeeld op kinderen gericht is.

#8. Voer een Data Protection Impact Assessment (DPIA) uit

Een ‘gegevensbeschermingseffectbeoordeling’ is niet voor elke organisatie verplicht, maar wel een handig instrument om de privacyrisico’s van je gegevensverwerkingen in kaart te brengen en passende maatregelen te nemen.

Je bent in ieder geval verplicht een DPIA uit te voeren als je gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor je klant. Dat is het geval als je systematisch en uitvoerig persoonlijke aspecten evalueert, zoals bij profiling. Of wanneer je op grote schaal bijzondere persoonsgegevens verwerkt of systematisch mensen volgt in publiek toegankelijk gebied.

#9. Verhoog je ict-beveiliging

Zowel de verantwoordelijke als de bewerker moet onder de AVG zorg dragen voor adequate technische en organisatorische beveiliging van systemen waarmee persoonsgegevens worden verwerkt.

Neem beveiligingsmaatregelen om persoonlijke data te beschermen tegen verlies, aanpassing en ongeoorloofde verwerking. En controleer of de (cloud)software die je gebruikt voldoet aan de beveiligingsstandaarden.

AVG-boete

Vanaf het moment dat de AVG definitief in werking treedt, moet elke organisatie kunnen aantonen dat het in overeenstemming met de verordening handelt. Is dat niet het geval, dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet. Tijd voor actie dus!

Behoefte aan een uitgebreider actieplan? Download de gratis whitepaper ‘De onmisbare gids voor GDPR-compliance‘. En lees ook: