De nieuwe privacywetgeving; u heeft nog één maand
Privacy is geen ondergeschoven kindje meer, het is inmiddels een hot topic in de landelijke media. Denk bijvoorbeeld aan de consternatie omtrent Facebook en de verkoop van gebruikersgegevens. Deze ontwikkelingen en de nieuwe privacyregels, die per 25 mei 2018 gehandhaafd zullen worden, zorgen voor veel aandacht.
De Algemene Verordening Gegevensbescherming (AVG), zoals de nieuwe wetgeving heet, wordt zodoende ook breed uitgemeten. Graag nemen wij u mee in de belangrijkste verplichtingen van deze wet en waar uw organisatie per 25 mei 2018 rekening mee zal moeten houden.
Is de AVG op mijn organisatie van toepassing?
Het antwoord op bovenstaande vraag is gemakkelijk te geven. Als uw organisatie persoonsgegevens verwerkt dan betekent dit dat u op 25 mei 2018 klaar moet zijn voor de Algemene Verordening Gegevensbescherming. Dit klinkt simpel, maar gezien de vele verplichtingen wordt bij veel organisaties door de bomen het juridische bos gemist. Deze blog geeft u zes concrete stappen op weg naar het volgens de regels verwerken van de in uw organisatie aanwezige persoonsgegevens.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’).
Stap 1: Zorg voor kennis over privacy en voor een AVG-team
De impact van de nieuwe privacyregels moet binnen uw organisatie door de beleidsbepalers worden beoordeeld. Mogelijk moeten processen, diensten en goederen op een andere manier worden ingericht. Het voldoen aan de regels kost inspanning en tijd. Vorm een team van verantwoordelijken, bijvoorbeeld bestaande uit een HR-manager, de IT-specialist en een manager of directeur. Beoordeel of er al genoeg inhoudelijke juridische kennis aanwezig is. Zo niet ga opzoek naar een professional die uw organisatie kan begeleiden bij de uitvoering.
Stap 2: Breng de verwerkingen van persoonsgegevens in kaart
Het eerste wat u met uw team kunt gaan uitvoeren is het in kaart brengen van alle gegevensverwerkingen die binnen uw organisatie plaatsvinden. Denk aan externe leveranciers die u inzet ten behoeve van uw personeel zoals de salarisadministratie, verzuim- en pensioendienstverleners. Maar vergeet ook niet uw gegevensverwerking via uw website of de leverancier van uw CRM-software. Alle partijen waarmee u persoonsgegevens deelt en de middelen die u hiervoor gebruikt, moeten in kaart worden gebracht.
De verwerkingen die in het overzicht staan kunt u vervolgens uitwerken in een zogenaamd verwerkingsregister. Hierin moet onder andere staan welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit register is onderdeel van verantwoordingsplicht onder de nieuwe wetgeving. U bent over het algemeen verplicht een verwerkingsregister te hebben vanaf 25 mei 2018.
Stap 3: Zorg dat al uw verwerkingen een wettelijke grondslag hebben
Uit uw verwerkingsregister kunt u opmaken welke verwerkingen plaatsvinden. Het verwerken van persoonsgegevens is niet verboden. Wel moet u daarvoor een grondslag hebben die is aangegeven in de Algemene Verordening Gegevensbescherming. Er zijn zes grondslagen op grond waarvan u mag verwerken, namelijk:
- Toestemming: De betrokkene heeft zijn ondubbelzinnige toestemming gegeven voor de verwerking van zijn gegevens voor één of meerdere doelen.
- Uitvoering overeenkomst: De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene.
- Wettelijke verplichting: De gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verantwoordelijke.
- Vitaal belang: De gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
- Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
- Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Een afweging van dit belang moet worden gemaakt (en beschreven) tegen het belang of de fundamentele rechten en vrijheden van de betrokkene.
Stap 4: Ga verwerkersovereenkomsten aan met verwerkers
In uw overzicht van verwerkingen kunt u nu lezen van welke verwerkers u diensten afneemt waarbij tussen de partijen persoonsgegevens worden uitgewisseld. In al deze gevallen rust er een verplichting op de partijen om een aantal zaken vast te leggen in een verwerkersovereenkomst. Hierin staat wat het onderwerp, de duur, de aard en het doel van de verwerking is. Maar ook geeft u aan welke beveiligingsmaatregelen er worden genomen en wat de afspraken zijn bij een datalek. Duidelijk moet zijn dat op een verantwoorde manier wordt omgegaan met de verwerkte persoonsgegevens.
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging
of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Stap 5: Implementeer de rechten van betrokkenen in de organisatie
Onder de nieuwe privacywetgeving krijgt de betrokkene, de persoon van wie de gegevens zijn, een verzameling aan rechten om uit te oefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Uw verwerkingsregister is daarbij cruciaal. Zo kunt u inzage geven in de gegevensverwerkingen als een betrokkene daarom verzoekt. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Daarnaast kunnen zij bij de Autoriteit Persoonsgegevens klachten indienen over de manier waarop u met hun gegevens omgaat. De Autoriteit is volgens de AVG verplicht deze klachten te behandelen.
Stap 6: Voer de nieuwe meldplicht datalekken uit
Al vanaf 1 januari 2016 geldt voor organisaties de wet meldplicht datalekken. Deze wet wordt nu grotendeels overgenomen in de Algemene Verordening Gegevensbescherming. Maar in de nieuwe wetgeving worden strengere eisen gesteld aan uw interne registratie bij datalekken. Alle voorkomende datalekken moeten worden gedocumenteerd in een datalekken register. Vervolgens volgt u uw datalekken protocol waaruit blijkt of er een melding bij de Autoriteit en/of aan betrokkenen moet worden gedaan. Aan uw interne register moet de Autoriteit kunnen aflezen of u aan uw meldplicht heeft voldaan.
Om u verder te informeren, plannen wij graag een afspraak in tezamen met onze adviseur Leonard van der Leeden, jurist Privacy & IT bij De Functionaris B.V.
Plaats een reactie