Algemene Verordening Gegevensbescherming (AVG)

Foto:

Vanaf 25 mei 2018 gelden er strengere regels op het gebied van privacy.

De Wbp (Wet bescherming persoonsgegevens) wordt dan vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze AVG geldt voor de hele Europese Unie en heeft gevolgen voor iedere organisatie die persoonsgegevens verwerkt.

We noemen de zeven belangrijkste checkpunten voor uw organisatie.
Dat geldt zowel voor het bewaren in digitale bestanden als in fysieke papieren mappen in een dossierkast. Ook deze laatste moeten voortaan veilig worden opgeborgen, zonder dat vreemden daar bij kunnen. Met onderstaande zeven stappen maak je jouw organisatie AVG-bestendig!

Check 1: inventariseren

Welke persoonsgegevens worden verzameld en waar worden deze bewaard? Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Daarbuiten valt dus een overleden persoon, en ook een bedrijf, hierop is de AVG niet van toepassing. Wordt er niet te veel vastgelegd, ofwel is het vastleggen wel in overeenstemming met het doel? Persoonsgegevens mogen alleen worden vastgelegd vastlegt die je nodig hebt en mogen alleen gebruikt worden waarvoor deze zijn verzameld.

Check 2: informeer welke persoonsgegevens worden bewaard met welk doel

Behalve als er een dringende reden van algemeen belang of wettelijke verplichting bestaat, kunnen persoonsgegevens alleen met toestemming van de betrokkene worden opgeslagen. Het is dus zaak om met betrokkenen te communiceren dat zijn persoonsgegevens worden verwerkt en met welk doel. Leg vast dat betrokkenen het recht hebben hun gegevens in te zien, te wijzigen en te vernietigen.
Bij bijzondere persoonsgegevens, dat zijn persoonsgegevens van gevoelige aard, zoals BSN nummer, ras, medische gegevens, politieke gezindheid etc., is het oppassen geblazen. Het verzamelen en verwerken ervan is verboden, tenzij hiervoor een wettelijke uitzondering is of de betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven.

Check 3: leg vast wat er gebeurt met de persoonsgegevens die zijn verzameld

Organisaties moeten vastleggen wie er verantwoordelijk is voor de vastlegging, aan wie de persoonsgegevens worden verstrekt, wat deze zich bevinden en hoe het wordt beschermd, de zogenaamde verantwoordingsplicht.
Voorkomen moet worden dat informatie onbeschermd staat en dat onbevoegden geen toegang hebben, hetgeen vastgelegd moet zijn (protocollen). Met derden die toegang hebben tot de persoonsgegevens, zoals ICT bedrijven, moeten goede afspraken op schrift zijn gesteld, voor het gebruik van persoonsgegevens om dezelfde wijze van bescherming te waarborgen, de be- of verwerkersovereenkomst. Zo´n verwerkersovereenkomst moet in elk geval de navolgende onderwerpen bevatten:

  • partijen (wie is bewerker en wie is eindverantwoordelijke),
  • definities (wat wordt er onder betrokkene bijziovvorbeeld verstaan),
  • algemene zaken (zoals lengte van de overeenkomst, aard en doel verwerking, soorten persoonsgegevens, categorieën betrokkenen, rechten en plichten verantwoordelijke),
  • hoe de verwerking plaatsvindt (alleen in opdracht van eindverantwoordelijke),
  • geheimhoudingsplicht (iedereen die toegang heeft tot de gegevens houdt deze verder geheim)
  • beveiliging (de bewerkern moet dezelde mate van passende technische en organisatorische maatregelen hanteren)
  • subverwerkers (categorieen en de bewerker moet haar verplichtingen ook vastleggen naar de subbewerker toe)
  • privacyrechten (inzien, wijzigen en vernietigen)
  • audits (bewerker moet daaraan meewerken)
  • overige verplichtingen (zoals datalek melden, evt. protokol daarvoor opstellen).

Check 4: is er een functionaris voor de gegevensbescherming (FG) nodig en zo ja, stel deze aan.

Dit is verplicht voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer (op grote schaal) bijzondere persoonsgegevens worden opgeslagen. De FG is de centrale persoon die alle persoonsgegevens van de organisatie beheert.

Check 5: Data Protection Impact Assessment (DPIA)

Een DPIA, ook wel gegevensbeschermingseffectbeoordeling genoemd, is een middel om de risico’s van gegevensverwerking voor privacy in kaart te brengen. Daarna kunnen maatregelen getroffen worden om dat risico te verminderen.

Check 6: interne organisatie op orde brengen

Zorg voor een adequate voorlichting van het personeel (betrek de OR er bij, zorg voor addenda op de arbeidsovereenkomst en aanpassingen op het arbeidsreglement), zzp-ers (addenda op de overeenkomsten van opdracht), voor vrijwilligers etc. Maak instructies rondom het voorkomen datalekken, zorg voor verantwoord gebruik van e-mails en sociale media. Stel computers zo in dat het scherm na een vooraf bepaalde tijd bij niet-gebruik op zwart gaat etc.

Check 7: stel een protocol op voor het melden van datalekken

Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Het is zorgvuldig en handig om tevoren te bedenken hoe je dat dan doet. In dit protocol moet in elk geval staan:

  • Wat een datalek is (als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben).
  • Bij wie in de organisatie een datalek gemeld moet worden;
  • Wie checkt wat er gelekt is;
  • Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn;
  • Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:
    a. de aard van de inbreuk;
    b. de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
    c. de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
    d. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
    e. de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
  • Wie de melding doet bij de Autoriteit Persoonsgegevens.

Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl

Tot besluit

In Nederland controleert de Autoriteit Persoonsgegevens (AP) of organisaties voldoen aan de AVG. Zij doet dat voorlopig alleen naar aanleiding van een klacht, maar kan wel boetes opleggen die flink kunnen oplopen, wanneer waarschuwingen voor verbetering geen effect hebben gesorteerd.

Heeft u hulp nodig bij de implementatie van de AVG in uw organisatie of heeft u hierover vragen, neem dan contact op met: mr. Antoinette Kouwenaar-de Coninck.

Ook voor privacywetgeving: neem vrijblijvend contact op met Kouwenaar Advocatuur te Nijkerk, of kijk op: www.kouwenaar-advocatuur.nl voor onze contactgegevens.

Aanmelden nieuwsbrief
Cookieinstellingen