Deel:

AVG Nieuwe privacywetgeving 2018

De nieuwe en strengere Europese privacywetgeving (AVG) dwingt alle bedrijven en organisaties, die persoonsgegevens vastleggen van klanten, personeel of andere personen, tot actie en maatregelen. Activiteiten vallen veel sneller onder de privacywet èn u moet op ieder moment op afroep kunnen aantonen dat u zich er aan houdt en ‘in control’ bent.

Probleemloos beheren van uw AVG Dossier

De AVG (GDPR) heeft per 25 mei 2018 de Nederlandse Wet op Bescherming van Persoonsgegevens (WBP van 1 september 2001) vervangen. De AVG stelt strengere eisen en voorwaarden dan de WBP.

De 4 vier meest gestelde vragen:

Geldt de AVG ook voor ons? De AVG geldt voor iedere organisatie die persoonsgegevens gebruikt. Van ZZP'er tot multinational. Van onderwijsinstellingen, bedrijven, sportverenigingen, stichtingen en zorginstellingen tot een zelfstandig zorgaanbieder zonder personeel.
Moeten we een verwerkingsregister bijhouden? Kort gezegd: Ja. Een verwerkingsregister bijhouden moet. Er is een uitzondering:
  • Heeft uw organisatie minder dan 250 medewerkers EN verwerkt u alleen gewone persoonsgegevens EN doet u dat niet structureel? Dan hoeft het niet.
  • In de praktijk doet echter iedere organisatie aan structurele verwerking van persoonsgegevens. Denk o.a. aan een contactformulier, nieuwsbrieven, salarisadministratie, e-mailverkeer, sollicitatieprocessen (c.v.'s) en gebruik van tevredenheidsonderzoeken, etc.
Moeten we DPIA's (risico analyses) uitvoeren? Dat is afhankelijk van wat voor organisatie u bent, wat voor persoonsgegevens u gebruikt, hoe u die gebruikt en met name wat daarbij het risico kan zijn.
Wat betekent de verantwoordingsplicht voor ons? Dit is uiteindelijk de meest impactvolle verplichting. Iedere organisatie is verplicht om zich op ieder moment aan de Autoriteit Persoonsgegevens te kunnen verantwoorden over haar privacy beleid en het privacybeschermingsniveau. Een enkele klacht kan hier al toe leiden.

Waar komt het voor u op neer?

De onderstaande 13 onderwerpen geven u een globaal beeld van waar de introductie van de AVG voor u om zal gaan. Daarna geven we een beeld van wat u nodig hebt en natuurlijk een oplossing.

1. Algemeen

Als organisatie moet u er voor zorgen dat u ten aanzien van het beschermen van privacy / persoonsgegevens 'in control' bent. De AVG stelt daartoe veel eisen aan beleid en hoe en wat de organisatie moet uitvoeren en registreren rondom het verwerken van persoonsgegevens en het beschermen van privacy. Er worden eisen gesteld aan hoe in verschillende situaties gehandeld moet worden en op welke manier u zich naar de Autoriteit persoonsgegevens moet kunnen verantwoorden. Processen en informatiestromen moeten goed gedocumenteerd zijn, alle betrokkenen (personen van wie persoonsgegevens worden verwerkt) moeten goed geïnformeerd zijn en hun rechten makkelijk kunnen uitoefenen. Het laatste wordt uw verantwoordelijkheid. Het geheel vraagt een structurele benadering en hoogst waarschijnlijk een aantal organisatorische en technische aanpassingen in uw processen, organisatie en systemen.

2. Verantwoording

De Autoriteit persoonsgegevens zal natuurlijk niet direct bij iedereen op de stoep staan. Maar omdat zij verplicht is om te handhaven, zal ze bij het ontvangen van een klacht waarschijnlijk allereerst uw AVG-dossier opvragen. De AVG dwingt er in die zin toe die documentatie op orde te hebben. Namelijk het volgende:

De AVG vereist dat u zich op ieder moment (op afroep) kunt verantwoorden naar de Autoriteit persoonsgegevens. De manier waarop en waarmee u zich moet verantwoorden is daarbij ook vastgesteld. Deze verantwoordingseis heeft veel impact. Het gaat om alle documentatie rondom uw processen, documentatie over hoe u de bescherming van persoonsgegevens structureel borgt en documentatie over hoe u de rechten van betrokkenen structureel ondersteunt. Van de verschillende typen documentatie stelt de AVG ook wat er moet zijn beschreven.

3. Bewustwording

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

4. Rechten van betrokkenen

Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.

Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Personen kunnen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

5. Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart. Zijn uw verwerkingen rechtmatig? Welke persoonsgegevens mag u verwerken en waar moet u zich dan aan houden? Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

6. Data protection impact assessment (DPIA)

Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico's te verkleinen.

U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA's moet uitvoeren en hoe u dit dan gaat aanpakken.

Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start.

Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

7. Privacy by design & privacy by default

Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje 'Ja, ik wil aanbiedingen ontvangen' niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

8. Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. Onderwijsinstellingen, overheden en grotere zorginstellingen (bijvoorbeeld zieknhuizen) moeten in ieder geval een FG aanstellen.

9. Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. U hoeft datalekken niet in alle gevallen te melden. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.

Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

10. Verwerkersovereenkomsten

Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

12. Leidende toezichthouder

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

13. Toestemming

Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

Nieuw is dat u moet kunnen aantonen (dus documenteren) dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

In 4 stappen blijvend 'in control'

Met AVG Control in Yucan krijgt u alles rondom de AVG kostenefficiënt en blijvend onder controle. Inhoudelijk èn procesmatig. AVG Control is namelijk uw online management-omgeving die u in staat stelt om met en zonder consultancy of hulp van derden aan de strenge eisen van de AVG te voldoen. En alles rondom de AVG in eigen beheer te houden.

AVG Control is tegelijk ook uw handleiding voor de AVG!

U kunt beginnen met alleen een checklist maar AVG-Control gaat verder. Het is uw complete management-omgeving voor alles rondom de AVG.

U start met een inventarisatie om te weten waar u staat en wat aandacht behoeft. Vervolgens leidt AVG-Control u op handzame wijze door het proces en hebt en houdt u uw privacybeschermingsproces en AVG-Dossier altijd en blijvend op orde.

Stap 1 Inventariseren & Beheren

In het privacy-framework evalueert u waar u staat. Met de proces inventarisatie brengt u de processen waar persoonsgegevens worden gebruikt in kaart. Zo weet u zeker dat u niets over het hoofd ziet. En zo heeft en houdt u uw Organisatie DPIA volledig op orde.

Stap 2 Analyseren, Vastleggen & Prioriteren

U legt alle bewerkingen vast die automatisch in het Bewerkingsregister komen. Daarbij checkt u meteen of een DPIA vereist is. Voert u die DPIA ook uit dan brengt u eventuele verbeterpunten ook direct in beeld. AVG control genereert automatisch een overzichtelijke behandellijst.

Stap 3 Documenteren, Verbeteren & Plannen

Hier documenteert u uw privacybeleid, protocollen, handboeken en privacy (jaar)plannen. En met behulp van de handzame en flexibele formats in AVG Control werkt u hier al uw verbeterprojecten uit.

Stap 4 Overzichten, bewerkingsregister & Verantwoording

AVG Control is zo opgezet dat u continu een samenhangend overzicht heeft èn houdt van alle processen, bewerkingen, beschrijvingen, verbeterprojecten & privacyplannen. En met één druk de knop heeft u al uw rapportages en verantwoordingsdocumenten altijd direct beschikbaar.

Start een gratis demo

AVG of GDPR privacywetgeving

Start een gratis demo om te zien wat AVG Control voor u kan betekenen.

Advies!

AVG-Control biedt u veel en is zeer volledig. Neem daarom geheel kosteloos contact op met één van onze adviseurs om uw demo samen te doorlopen. Binnen 10 minuten heeft u een totaal beeld, u ziet direct hoe u alles rondom de AVG doelmatig, zelfstandig en voor 25 Mei organiseert.

Wilt u het een maand uitproberen? Dat kan ook. Bekijk onze maandproducten via onderstaande links. Meer weten?

Kunnen wij u helpen?

Bel ons

maandag t/m vrijdag
09:00 - 17:00 uur

Of wij bellen u