nieuws

AVG-deadline gemist? Dit kun je alsnog doen

Schade 2115

Het was niet te missen: de afgelopen tijd is volop aandacht besteed aan de nieuwe wet Algemene Verordening Gegevensbescherming (AVG). Begrijpelijk, want door de verscherpte privacyregels zijn organisaties verplicht hun systemen goed onder de loep te nemen en maatregelen te treffen. Er moet aan flink wat voorwaarden voldaan zijn, ook door het midden- en klein bedrijf. Toch heeft niet iedereen de deadline van 25 mei 2018 gehaald. Daarom de 10 belangrijkste aandachtspunten op een rij om alsnog AVG-proof te worden.

AVG-deadline gemist? Dit kun je alsnog doen

1. Creëer bewustwording

Zorg ervoor dat ‘sleutelfiguren’ binnen jouw organisatie begrijpen wat de nieuwe privacyregels inhouden en betekenen voor je organisatie. Bewustwording houdt ook in dat je je moet realiseren wat de gevolgen kunnen zijn als je je niet aan de wet houdt. Bij schending van de privacyregels kunnen boetes worden gegeven van maar liefs € 20.000.000 of 4% van de wereldwijde jaaromzet. Een flink bedrag, maar dat is niet alles. Organisaties kunnen ook te maken krijgen met aansprakelijkheidsstellingen, dwangmaatregelen, een verbod op het langer verwerken van persoonsgegevens, negatieve publiciteit én ontevreden klanten.  Kortom: hoe sneller je aan de voorwaarden van de wet voldoet, hoe beter.

2. Richt je processen in op meer rechten voor betrokkenen

De rechten van betrokkenen (personen van wie de persoonsgegevens worden verwerkt) zijn door de nieuwe wet aanzienlijk toegenomen en daar moeten je processen op ingericht zijn. Ten eerste moeten betrokkenen zelf toestemming geven voor het verwerken van hun gegevens. Die toestemming is vrijwillig en intrekbaar. Gebruik gemakkelijke taal als je om toestemming vraagt. Daarnaast hebben betrokkenen onder andere recht op informatie, recht van inzage, recht op wissen gegevens en recht op bezwaar. Voor de verwerking van persoonsgegevens van kinderen jonger dan 16 is toestemming nodig van een ouder of voogd. Let hier dus extra op.

3. Let op de definitie van persoonsgegevens

Realiseer je dat de definitie van persoonsgegevens ruim is: het gaat niet alleen om gegevens zoals naam en adres, maar alle informatie die naar een ‘identificeerbare natuurlijke persoon’ kan leiden, dus ook gegevens zoals een IP-adres of een bankrekeningnummer. Ook het verwerken wordt ruim opgevat: niet alleen het opslaan, ook het anonimiseren en vernietigen wordt volgens de nieuwe AVG gezien als verwerken. Bovendien zijn er gegevens die je niet mag verwerken als organisatie, zoals gegevens met betrekking tot iemands ras, politieke opvattingen, religie, genetische gegevens of seksuele gedrag. Ook hier zijn uitzonderingen voor: bijvoorbeeld als daar toestemming voor is gegeven of als het van belang is voor de bescherming van de volksgezondheid.

4. Zorg voor een begrijpelijk privacy statement

Een privacy statement moet nog meer dan voorheen transparant en begrijpelijk zijn en aangeven met welk doel de gegevens worden verwerkt. Daarnaast ben je verplicht om te wijzen op het recht van wijzigen, verwijderen en inzien van de gegevens.

5. Leg een register aan van alle persoonsgegevensverwerkingen

Als bedrijf ben je verplicht een register aan te leggen van alle persoonsgegevensverwerkingen. Welke gegevens verwerk je, met welk doel, waar komen de gegevens vandaan en met wie deel je de gegevens? Hoe lang kun je de gegevens bewaren? Ben je verwerker of verantwoordelijke? Het is een behoorlijke klus om dit alles in beeld te krijgen. Er zijn veel tools voor ontwikkeld, maar het kan ook in een excel spreadsheet.

6. Controleer de contracten met jouw verwerkers

Als er een partij in het spel is die de gegevens voor de organisatie verwerkt (een zogenaamde ‘verwerker’) is het belangrijk om te controleren of de contracten tussen jouw organisatie (‘de verantwoordelijke’) en deze verwerker aan de wet voldoen. Zo mag de verwerker bijvoorbeeld geen andere verwerker in dienst nemen zonder schriftelijke toestemming van de verantwoordelijke.

7. Maak een datalek draaiboek

Bedrijven zijn verplicht om datalekken te melden. Maar waar begin je als het eenmaal zo ver is? Maak een draaiboek voor datalekken en stel daar een team voor samen. ‘Serieuze’ datalekken moet je binnen 72 uur melden bij Autoriteit Persoonsgegevens én de betrokkenen zelf. Met een draaiboek kun je direct actie nemen en ervoor zorgen dat je volgens de wet handelt.

8. Vraag advies van de Data Protection Officer (DPO)

Overheidsinstellingen, organisaties met meer dan 250 werknemers én organisaties die veel persoonsgegevens verwerken moeten een onafhankelijke DPO aanstellen – of inhuren: er zijn steeds meer organisaties en ZZP’ers die deze dienstverlening aanbieden. De DPO adviseert de organisatie over de bescherming van de persoonsgegevens en verwerkingsactiviteiten. Volg je het advies niet op? Dan moet je dit ook documenteren. Maar een DPO mag niet worden gestraft of ontslagen voor zijn advies of de uitvoering van zijn taken: hij (of zij) geniet dezelfde bescherming als leden van de ondernemingsraad.

9. Zorg dat je beveiliging in orde is

Beveiliging van persoonsgegevens is uiteraard essentieel, anders is de kans groot dat de gegevens binnen no time op straat komen te liggen. Zorg voor encryptie, gedegen toegangsbeveiliging en continue monitoring.

10. Voer een Data Protection Impact Assessment uit (indien nodig)

Brengt jouw gegevensverwerking een hoog privacyrisico met zich mee? Dan ben je verplicht een DPIA uit te voeren. Met dit instrument kun je risico’s in kaart brengen en vervolgens de juiste maatregelen nemen om die risico’s te verkleinen.

Wil je meer weten? Een uitgebreide toelichting vind je in het Factsheet Algemene Verordening Gegevensbescherming van Chubb en Cordemeyer en Slager Advocaten.

Dit is een partnerbijdrage van Chubb. Bekijk hier een volledig overzicht van partnerberichten van Chubb.

Reageer op dit artikel