nieuws

Tienstappenplan ter voorbereiding op nieuwe privacywet

Branche 2033

De Autoriteit Persoonsgegevens (AP) heeft tien stappen op een rij gezet waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese privacywetgeving, die 25 mei 2018 van kracht wordt in de vorm van de Algemene Verordening Gegevensbescherming (AVG). Niet voldoen aan de privacyregels kan leiden tot boetes van maximaal € 20 mln.

Tienstappenplan ter voorbereiding op nieuwe privacywet

De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). Daarmee krijgen mensen meer privacyrechten en organisaties die persoonsgegevens verwerken meer plichten. Zij krijgen met name een grotere verantwoordelijkheid om aan te kunnen tonen dat zij zich aan de wet houden. “De AP adviseert organisaties op tijd te beginnen met de implementatie van de regels.”

Dataportabiliteit

Het tienstappenplan van de AP bestaat onder meer uit bewustwording in de organisatie en het waarborgen van de rechten van betrokkenen. In de nieuwe wet is bijvoorbeeld het recht van dataportabiliteit opgenomen: klanten hebben het recht persoonsgegevens te ontvangen die een organisatie van hen heeft. Die mogen zij zelf opslaan of doorgeven geven aan een andere organisatie. “Ook moeten organisaties er rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen.”

Organisaties moeten een register gaan bijhouden waarmee ze kunnen aantonen dat ze volgens de wet handelen. De AP raadt aan om in kaart te brengen welke persoonsgegevens worden verwerkt, waar ze vandaan komen en met wie ze worden gedeeld.

Impact-assessment

In sommige gevallen moet vooraf worden bekeken wat de privacyrisico’s van een gegevensverwerking zijn. Dan is een privacy impact assessment (PIA) nodig. “Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.” Dat is in ieder geval zo als een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering, of op grote schaal bijzondere persoonsgegevens verwerkt. In Europees verband zijn richtlijnen opgesteld voor zo’n assessment.

Nederlandse organisaties kunnen opmerkingen insturen of vragen over het proces stellen via guidelines@autoriteitpersoonsgegevens.nl of via 070-88.88.500.

Reageer op dit artikel