Voor u uitgelicht: Algemene Verordening Gegevensbescherming (AVG)

by admin

Voor u uitgelicht: Algemene Verordening Gegevensbescherming (AVG)

by admin

by admin

Op 25 mei 2018 gaat de nieuwe privacywetgeving in. Dat is u uiteraard niet ontgaan. Maar wilt u de belangrijkste informatie hierover nog op een rij? Lees dan dit bericht waarin wij u uitleggen welke gevolgen de AVG heeft voor de werkgever en werknemer.

Voor wie geldt de nieuwe privacywetgeving?

Iedereen die persoonsgegevens verwerkt door middel van een bestand of (deels) geautomatiseerde verwerking (zoals naam, geboortedatum, salaris, beelden beveiligingscamera’s, foto’s op badges, ziekteverzuimcijfers, etc.).

Wat gaat er precies veranderen ten opzichte van de Wet Bescherming Persoonsgegevens (Wbp)?

• Organisaties hebben een informatieplicht naar de personen van wie zij persoonsgegevens verwerken (betrokkenen). Dit heeft in ieder geval betrekking op: doeleinden van gebruik, rechtsgrond, identiteit en contactgegevens van de functionaris gegevensbescherming (FG) en de verantwoordelijke voor persoonsgegevens, of de gegevens worden doorgegeven buiten de EU, en wie andere ontvangers zijn van de gegevens. Dit was al zo in de Wet Bescherming Persoonsgegevens (Wbp), maar nu in de AVG is expliciet vermeld dat de verwerking transparant moet zijn. De betrokkenen moeten op al hun rechten gewezen worden.

• Organisaties krijgen meer verantwoordelijkheid in het kunnen aantonen dat zij zich aan de wet houden. Ook wel: de autoriteit persoonsgegevens krijgt meer onafhankelijkheid en bevoegdheden (controles en boetes). Dus een verantwoordingsplicht dat de juiste maatregelen zijn genomen om aan de AVG te kunnen voldoen (bijvoorbeeld d.m.v. een privacy beleid). In de Wbp had men een meldplicht voor gegevensverwerking bij de Autoriteit Persoonsgegevens (AP), maar dat hoeft nu niet meer. Let op: de meldplicht datalekken vervalt niet!

• Betrokkenen krijgen meer privacy rechten.
1. Recht op dataportabiliteit (nieuw): betrokkene heeft het recht om gegevens in een standaardformaat over te laten dragen. Dit vergemakkelijkt het doorgeven van de gegevens naar bijvoorbeeld een andere leverancier.
2. Recht op informatie (nieuw): betrokkenen informeren over welke gegevens een bedrijf van hen heeft en wat er met die gegevens gedaan wordt.
3. Recht op inzage: betrokkene heeft het recht om te vragen welke gegevens er bewaard worden, met welke reden, aan wie de gegevens worden doorgegeven en hoe lang de gegevens bewaard worden.
4. Recht op vergetelheid/verwijdering: gegevens wissen (ook bij de organisaties aan wie de gegevens zijn doorgegeven) als de betrokkene daarom vraagt. Dit kan wanneer de gegevens niet meer nodig zijn, de betrokkene toestemming in trekt, de betrokkene bezwaar maakt (bijvoorbeeld bij directe marketing), er een onrechtmatige verwerking van de persoonsgegevens heeft plaatsgevonden, de wettelijk bepaalde bewaartermijn voorbij is, of als de betrokkene jonger dan 16 jaar oud is.
5. Recht op correctie: betrokkene heeft het recht om onjuiste gegevens te wijzigen of aan te vullen.

• Strengere eisen aan de registratie van datalekken (= inbreuk op beveiliging van persoonsgegevens), zoals verliezen van USB-stick, of per ongeluk verstuurde gegevens naar een ander dan voor wie het was bedoeld. Men moet nu alle (en niet alleen de gemelde) datalekken documenteren. Hiervoor zijn richtlijnen opgericht.

• Bedrijven moeten een rechtsgeldige reden (grondslag) hebben om persoonsgegevens te verwerken. Deze moeten kenbaar gemaakt worden aan de betrokkenen.
1. Toestemming van gebruiker: hier zijn strengere eisen aan. U moet nu kunnen aantonen dat u voor elk afzonderlijk doel geldige toestemming heeft gekregen en dat de betrokkenen goed zijn geïnformeerd.
2. Wettelijke verplichting
3. Overeenkomst
4. Algemeen belang
5. Gerechtvaardigd belang
6. Vitale belangen

• Indien u waarschijnlijk een hoog privacy risico heeft (bijv. bij profilering), dan bent u verplicht om een gegevensbeschermingseffectbeoordeling uit te voeren. Ook wel te verstaan onder Data Protection Impact Assessment (DPIA). Dit is een instrument om alle privacy risico’s in kaart te brengen. Op basis daarvan kunt u eventueel maatregelen nemen om de risico’s te verminderen. Onder de Wbp was enkel de Rijksoverheid verplicht om een DPIA uit te voeren, maar nu met de AVG zullen meer bedrijven hiervoor in aanmerking komen. U zult zelf moeten bepalen of u een DPIA moet uitvoeren, maar wanneer u er voor kiest om het niet te doen moet u goed kunnen onderbouwen waarom u daarvoor gekozen heeft. Voorbeelden van bedrijven die wel een DPIA moeten uitvoeren: een ziekenhuis dat patiëntgegevens verwerkt, een bank die klantgegevens verwerkt, en een zoekmachine die persoonsgegevens verwerkt om advertenties te tonen op basis van internetgedrag.

• Organisaties die als kernactiviteit op grote schaal individuen volgen (bijv. cameratoezicht, profilering), of die bijzondere persoonsgegevens op grote schaal verwerken (bijv. politieke opvattingen, ras), of een publieke instantie/overheid, zijn verplicht om een binnen de organisatie een Functionaris Gegevensbescherming (FG) aan te stellen. Deze houdt toezicht op het toepassen en naleven van de AVG, informeert en adviseert, en werkt samen met de toezichthoudende autoriteit. Deze verplichting bestond eerder niet.

Wat kunt u doen?

• Breng alle gegevensverwerkingen in kaart: welke persoonsgegevens worden verwerkt, waar komen gegevens vandaan, met welk doel worden de gegevens verwerkt, en met wie worden de gegevens gedeeld. Oftewel: Houd een register bij met alle verwerkingsactiviteiten. Hiermee voldoet u (deels) aan uw verantwoordingsplicht en het stelt betrokkenen in staat om een beroep te doen op privacy rechten.

• Om te voldoen aan uw informatieplicht kunt u een online privacyverklaring op uw website plaatsen. Hierin kunt u onder andere noteren wat er met de gegevens van de klant gebeurt. Een onlineverklaring, eventueel met een pop-up functie, is goed vindbaar voor alle klanten.

• Onderzoek of uw bedrijf de verplichte uitgangspunten van privacy by design (persoonsgegevens beschermen bij het ontwerpen van producten en diensten) en privacy by default (technische en organisatorische maatregelen om enkel noodzakelijke persoonsgegevens te verwerken, zoals apps zonder locatie functie) kunt toepassen.

• Indien een bedrijf een verwerkersovereenkomst heeft (gegevensverwerking is uitbesteed, bijvoorbeeld salarisadministratie) dan moet u controleren of overeengekomen maatregelen in de contracten nog steeds voldoen aan de nieuwe wetgeving. De opdrachtgever is tenslotte de verantwoordelijke.

• Indien een bedrijf in meerdere EU-lidstaten is gevestigd, of de gegevensverwerkingen in meerdere lidstaten impact heeft, dan moet u met één privacy toezichthouder zakendoen (leidende toezichthouder). Zoek daarom uit wie dat voor u is.

• Zorg voor bekendheid van de nieuwe wetgeving binnen uw organisatie. Het is belangrijk dat iedereen op de juiste manier met persoonsgegevens om gaat.

• Zoek eventueel iemand die de functie FG voor u wilt invullen. Dit hoeft geen jurist te zijn, maar wel iemand met achtergrondkennis van de nieuwe wetgeving.

Hoe kan Optimus Acorro u van dienst zijn?

• Ondersteunen bij het in kaart brengen van de gegevensverwerking in uw bedrijf. Wij kunnen hierin adviseren en controleren. Daarnaast kunnen wij een opzet bieden voor het verwerkingsregister dat u beoogt te gaan bijhouden.

• Opstellen van een privacyverklaring.

• Het bieden van een checklist bij datalekken. Aangezien alle datalekker gemeld moeten worden kan het handig zijn om te weten wanneer iets een datalek is, wanneer het risicovol is, hoe het te melden, waar te melden, wat daarna te doen om actie te ondernemen, hoe vervolgens data lekken te voorkomen etc.

• Uitvoeren van een DPIA. Ook al is het misschien niet voor uw organisatie verplicht, het geeft altijd inzicht in uw privacy risico’s waarna u vervolgens maatregelen kunt nemen om deze te verminderen. U laat hiermee zien aan de AVG te voldoen.

Waarom zou u hiervoor gebruik maken van ondersteuning door Optimus Acorro?

Er gelden strenge boetes. Wanneer u niet aan de wetgeving voldoet dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro of 4% van de maximale wereldwijde jaaromzet.
Om dit te voorkomen ondersteunt Optimus Acorro met haar kennis en inzicht. Optimus Acorro heeft ervaring met het maken van een verwerkingsregister en het uitvoeren van een DPIA. Daarnaast bieden wij u een checklist die u kunt gebruiken in geval van het vermoeden van datalekken. Ook ondersteunen wij u met opstellen van een privacyverklaring.
Onze medewerkers hebben ook ervaring binnen andere bedrijven en zien dus voorbeelden van hoe de AVG (niet) wordt toegepast. Deze ervaring zetten wij in om voor u maatwerk te bieden, dat overeenkomt met met onze kernwaarden. Wij geloven er sterk in dat ieder bedrijf anders is en daarom ook een andere aanpak vereist. Wij zullen daarom speciaal voor uw organisatie analyseren wat er dient te gebeuren om aan de AVG te voldoen.

Samen creëren wij wendbaarheid richting de toekomst. Dat wilt u toch ook?
U kunt ons bereiken via info@optimus-acorro.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Top