Vanaf 25 mei 2018 geldt er in heel Europa nog maar één privacywet: de algemene verordening gegevensbescherming (AVG). Om organisaties voor te bereiden biedt de Autoriteit Persoonsgegevens een 10-stappenplan. We lichten een aantal onderdelen uit.
1. Bewustwording
Zorg dat beleidsmakers binnen jouw organisatie weten dat er nieuwe privacyregels zijn. Zij moeten inschatten wat de impact van de regelgeving is en of er aanpassen binnen uw organisatie nodig zijn. Bedenk dat de implementatie veel uren kan vragen, dus begin op tijd. Volgens de Autoriteit Persoonsgegevens kunnen organisaties die niet voldoen aan de regelgeving boetes kunnen krijgen tot 20 miljoen euro of 4% van de wereldwijde omzet.
2. Aanpassing in privacyrechten
Door de Europese regelgeving krijgen mensen meer privacyrechten. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen om persoonsgegevens te verwerken. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Ook komt er een nieuwe regels, het recht op dataportabiliteit. Hierbij hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Het AP wijst organisaties er op dat mensen hun rechten straks kunnen uitoefenen. En zij kunnen klachten indienen als ze het niet eens zijn met de manier waarop organisatie omgaan met hun persoonsgegevens.
3. Overzicht verwerkingen
De AP adviseert organisaties om de gegevensverwerking in kaart te brengen. Dus controleer welke persoonsgegevens jullie verwerken met welk doel, waar deze gegevens vandaan komen en met wie ze worden gedeeld.
4. Privacy impact assessment (PIA)
Vanaf 25 mei 2018 kunnen organisaties verplicht worden een privacy impact assessment (PIA) uit te voeren. Deze verplichting geldt alleen als de gegevensverwerking een hoog privacy risico oplevert voor de betrokkenen. Dat is bijvoorbeeld zo als een organisatie:
– systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
– op grote schaal bijzondere persoonsgegevens verwerkt;
– op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Meer informatie over de PIA lees je op de site van de Autoriteit Persoonsgegevens.
5. Privacy by design & privacy by default
Nieuw in de regelgeving zijn privacy by design en privacy by default. By design houdt in dat je bij het ontwerp van producten en diensten al rekening houdt met de bescherming van persoonsgegevens. Met by default wordt bedoeld dat je de technische maatregelen neemt. De AP geeft een aantal voorbeelden:
- bij een app niet automatisch de locatie van gebruikers registeren;
- op een website de optie ‘Ja, ik wil aanbiedingen ontvangen’ niet automatisch al aanvinken;
- bij abonneren op een nieuwsbrief niet om meer gegevens vragen dan nodig is.
6. Meldplicht datalekken
De meldplicht datalekken blijft in de nieuwe regelgeving grotendeels hetzelfde. Wel moeten organisaties alle datalekken documenteren. Met deze informatie controleert de AP of organisaties aan de meldplicht hebben voldaan.
7. Bedrijven met meerdere vestigingen
Organisaties met vestigingen in meerdere EU-lidstaten hebben nog maar met één privacytoezichthouder te maken. Deze zogenaamde leidende toezichthouder is de privacytoezichthouder in de lidstaat waarin de hoofdvestiging van de organisatie is gevestigd.
Meer informatie over de leidende toezichthouder lees op je de site van de Autoriteit Persoonsgegevens.
Over de nieuwe privacywet
Binnen de EU heeft nu nog elke lidstaat een eigen privacywet, gebaseerd op de Europese privacyrichtlijn uit 1995. Inmiddels is er zoveel veranderd, dat de Europese privacywetgeving de afgelopen jaren is herzien. Het resultaat is de algemene verordening gegevensbescherming (AVG). De AVG is op 4 mei 2016 al gepubliceerd in het Publicatieblad van de Europese Unie, maar is pas op 25 mei 2018 van toepassing. Er is dus een overgangsperiode van twee jaar, zodat organisaties en toezichthouders zich kunnen voorbereiden. Tot 25 mei geldt in Nederland nog steeds de Wet bescherming persoonsgegevens.