Door de enorme toename in het dataverkeer en de steeds sneller ontwikkelde technologie is er besloten om een nieuwe privacy wet in te laten gaan (AVG). Dat houdt in dat de persoonsgegevens nu nog beter beschermd zullen worden. Er zijn dus nieuwe regels toegevoegd. De nieuwe wet heeft onder andere meer versterking en uitbreiding van de privacy rechten. Ook zijn er meer verantwoordelijkheden voor organisaties en zijn alle bevoegdheden voor de Europese privacy toezichthouders in de EU hetzelfde. Één van die bevoegdheden is dat ze boetes op kunnen leggen tot 20 miljoen euro. Verder lees je in dit blog wat de AVG wet precies inhoud en hoe jij je het beste kan voorbereiden op de komst hiervan.
De hoofdpijlers van de AVG
De nieuwe wet heeft drie hoofdpijlers:
Het informeren en toestemming vragen
Zorg dat de persoon waar de gegevens van worden vastgelegd bij de vastlegging geïnformeerd wordt over de volgende punten:
- De vastlegging van de gegevens.
- De gegevens die worden vastgelegd.
- Voor hoelang de gegevens worden vastgelegd.
- Met welk doel de gegevens worden vast gelegd.
Naast het informeren is het ook verplicht om toestemming te vragen voor de vastlegging van de gegevens. Het moet zo duidelijk mogelijk gebeuren en mag dus niet (meer) via het vooraf aanvinken van een vakje waarmee je automatisch toestemming geeft. Je moet zo specifiek mogelijk vertellen waar de betrokkene mee akkoord gaat. Zorg er dus voor dat het begrijpbaar is voor een doorsnee gebruiker.
De verantwoordelijkheid en aansprakelijkheid
Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van de organisaties zelf. Organisaties moeten kunnen aantonen dat zij zich aan de wet houden. Zo hebben organisaties een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacy risico’s terug te dringen. De documentatieplicht houdt in dat organisaties met documenten moeten kunnen laten zien dat zij de juiste maatregelen hebben genomen om aan de AVG te voldoen.
Met de bewijsplicht moeten organisaties kunnen bewijzen dat ze een geldige toestemming hebben gekregen voor het verzamelen van de persoonsgegevens. Je moet dus duidelijk in je contactbestand aangeven wat de privacy status per contact is, wanneer de gegevens verkregen zijn, op welke manier ze verkregen zijn en waarvoor er precies toestemming gegeven is. Ook moet het voor het contact net zo makkelijk zijn om de toestemming weer in te trekken als dat de toestemming gegeven is.
De privacy risico’s terug dringen
Organisaties worden ook gevraagd om een Privacy Impact Assessment (PIA) uit te voeren om de privacy risico’s terug te dringen. Dit is vooral belangrijk als de gegevensverwerking een hoog privacy risico met zich meebrengt. De PIA is vooral handig om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Zo kunnen er vervolgens maatregels genomen worden om de risico’s te verkleinen of voorkomen.
De aanvullende rechten
Naast een versterking van de bestaande rechten krijgen de mensen ook een aantal aanvullende rechten. Zo hebben ze het recht om eigen persoonsgegevens in te zien, te corrigeren of verwijderen wanneer ze dat willen. Ook hebben ze het recht om eigen persoonsgegevens op te vragen en over te dragen aan andere organisaties. Maar ook om een klacht in te dienen bij de Autoriteit Persoonsgegevens over de manier waarop organisaties omgaan met de gegevens.
Voorbereiden op de wet:
Er zijn een aantal punten waar je op moet letten tijdens het voorbereiden op de nieuwe wet.
Al eerste is de bewustwording erg belangrijk. Je moet er namelijk voor zorgen dat het personeel goed op de hoogte is van de nieuwe wet. Zo kun je een goede inschatting maken van de middelen en tijd die nodig zijn om de wet goed na te leven.
Daarnaast is het belangrijk dat je alle persoonsgegevens van de klanten in een duidelijk overzicht hebt. In het overzicht moet je onder andere noteren waar de gegevens vandaan komen, met welk doel de gegevens zijn opgeslagen en met wie de gegevens gedeeld worden.
Binnen de AVG staan de termen ‘Privacy by design’ en ‘privacy by default’ centraal. ‘Privacy by design’ houdt in dat er tijdens het ontwerpen van producten en diensten al rekening word gehouden met het behouden van de privacy van de klant. De privacy by default houd in dat je technische en organisatorische maatregels moet nemen waardoor alleen de gegevens die noodzakelijk zijn voor het specifieke doel verzamelt worden.
Als je binnen je het bedrijf op grote schaal met persoonsgegevens werkt en het een kern activiteit is dan ben je verplicht om een functionaris aan te stellen voor de bescherming van de gegevens.
Bij de AVG wet zijn er strengere eisen gesteld aan het melden van een data lek. Je moet nu aan kunnen tonen dat je er alles aan gedaan hebt om het lek te voorkomen en de gegevens te beschermen. Ook is het belangrijk om alle datalekken te documenteren en niet alleen de lekken waar melding van is gemaakt.
Als de bewerking van de gegevens uitbesteed worden aan een derde partij dan is het noodzakelijk om te kijken of het huidige contract voldoet aan de eisen van de AVG. Als het niet het geval is dan is het belangrijk om zo snel mogelijk nieuwe afspraken te maken en deze vast te leggen.
Voor de internationale bedrijven is het belangrijk om te weten dat er maar één toezichthouder is. Bepaal dus van te voren wie dat word.
Conclusie
De voorbereiding op de nieuwe wet is niet geheel onbelangrijk. Om een (hoge) boete te voorkomen is het belangrijk dat iedereen op de hoogte is. En dat je op tijd begint aan de aanpassingen. Ook is het belangrijk om alle gegevens goed te documenteren en bij te houden zodat je het allemaal aan kan tonen als dat nodig is.
