Nog 4 maanden: de GDPR nadert

Over enkele maanden is het zover; het aftellen naar 25 mei is in volle gang. Want dan moeten alle organisaties zich houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze wet vervangt de huidige Wet bescherming persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt. Legal counsels van brancheorganisatie DDMA stelden een gedetailleerde AVG-checklist op. Bij uitstek geschikt voor rustzoekers.

Maak belangrijke personen bekend met de AVG

Voor een succesvolle implementatie van de AVG moet iedereen die binnen de organisatie met persoonsgegevens werkt zich bewust zijn van wat er wel en niet is toegestaan. Breng beslissers en uitvoerders op het gebied van data, beveiliging en juridische zaken daarom bij elkaar en zorg voor een plan van aanpak.

Breng in kaart hoe persoonsgegevens worden verwerkt

Onder de AVG moeten organisaties kunnen aantonen dat zij zich aan de privacywetgeving houden. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is. Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag, bijvoorbeeld toestemming of omdat de verwerking nodig is om een (verkoop)overeenkomst uit te voeren.

Check of je een functionaris gegevensbescherming moet aanstellen

Voor sommige organisaties is een data protection officer of functionaris gegevensbescherming (FG) verplicht. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt, als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt, bijvoorbeeld omdat je op grote schaal persoonsgegevens verwerkt. Controleer of deze verplichting voor jouw organisatie geldt. Zo ja: vergeet de FG niet aan te melden bij de Autoriteit Persoonsgegevens.

Implementeer privacy by design en privacy by default

Ook onder de AVG mag je niet meer gegevens verwerken dan nodig is. Dit noemt men ‘dataminimalisatie’. De AVG introduceert met privacy by design en privacy by default twee nieuwe wettelijke verplichtingen waarbij dataminimalisatie een belangrijke rol speelt. Privacy by design betekent dat je al rekening houdt met gegevensbescherming bij het ontwerp van producten en diensten. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren. Privacy by default betekent dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Bijvoorbeeld door een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.

Sluit verwerkersovereenkomsten af

Je moet een verwerkersovereenkomst sluiten als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken. Dat is onder de huidige wetgeving ook al het geval, maar met de AVG komt er een aantal verplichte onderdelen bij. Hierin moet onder andere staan dat gegevens voldoende beveiligd worden, dat er toestemming wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker alleen handelt volgens instructies van de verantwoordelijke.

Stel procedures op en neem technische maatregelen

De AVG heeft onder andere als doel om individuen meer controle uit te laten oefenen over hun gegevens. Bijvoorbeeld via het recht op vergeten te worden of het recht op dataportabiliteit, waarbij mensen hun gegevens kunnen laten overdragen van de ene organisatie naar de andere. Stel dus procedures op om de rechten van betrokkenen uit te kunnen voeren én neem technische maatregelen – zeker als je veel verzoeken verwacht.

Stel een Privacy Impact Assessment (PIA) vast

Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is. Daarnaast moet een beoordeling van noodzaak en de evenredigheid van de verwerking plaatsvinden, evenals een beoordeling van de risico’s voor de individuen en een beoordeling van eventuele waarborgen of maatregelen om de impact op de privacy te beperken.

Onderaan de streep moeten de risico’s afgewogen worden tegen de waarborgen. Als het risico nog steeds hoog blijft, moet je het voorleggen aan de Autoriteit Persoonsgegevens: die moet dan beoordelen of je met de verwerking mag beginnen. Let op: de verplichting om een PIA uit te voeren geldt ook voor verwerkingen die gestart zijn vóór 25 mei. Als de verwerking doorgaat na die datum zal beoordeeld moeten worden of een PIA verplicht is.

Inventariseer en check de toestemming voor verwerking van persoonsgegevens

Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG moet je bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen. Intrekken van toestemming moet net zo eenvoudig zijn als het geven van toestemming en mag geen nadelige gevolgen hebben. Daarnaast mag toestemming niet een voorwaarde zijn voor uitvoering van de overeenkomst – de toestemming is in dat geval niet ‘vrij’ gegeven.

Stel een databeveiligingsbeleid op en toets en verbeter dit

Denk bij het opstellen van een databeveiligingsbeleid aan de volgende onderdelen:

  • Toegangscontrole, met gebruik van sterke wachtwoorden.
  • Logging van handelingen rondom de persoonsgegevens
  • Fysieke maatregelen voor toegangsbeveiliging
  • Encryptie van bestanden met persoonsgegevens
  • Steekproefsgewijze controle op naleving van het beleid
  • Beheer van kopieën en back-ups
  • Beveiliging van netwerkverbindingen

Stel een protocol meldplicht datalekken op

De meldplicht datalekken blijft onder de AVG bestaan. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder. Vervolgens gaat deze na of het lek ook bij het individu moet worden gemeld. Een protocol, inclusief een crisiscommunicatieplan, helpt hierbij. Liever wil je een datalek natuurlijk helemaal voorkomen – deze 7 praktische tips helpen daarbij.

Meer weten over je vorderingen op AVG-gebied en hoe je scoort vergeleken met andere bedrijven? Doe dan de DDMA AVG Status Check. DDMA houdt een AVG-bijeenkomst op 23 januari. Udo Oelen, hoofd toezicht private sector van de Autoriteit Persoonsgegevens, is een van de sprekers.