blog

    10-stappenplan Autoriteit Persoonsgegevens

    Monique Hennekens
    Monique HennekensPublicatiedatum: 28 april 2017Laatste update: 11 maart 2019
    10-stappenplan Autoriteit Persoonsgegevens

    Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Organisaties krijgen tot 25 mei 2018 om de nieuwe privacyregels te implementeren, want vanaf die datum is deze verordening ook daadwerkelijk van toepassing. De Autoriteit Persoonsgegevens heeft een 10-stappenplan gepubliceerd dat organisaties kan helpen met de voorbereiding op deze nieuwe Europese privacyregelgeving.

    Privacy-verordening

    De belangrijkste wijziging van de komende Algemene Verordening Gegevensbescherming is de documentatie- en verantwoordingsplicht. Iedere organisatie zal aan de hand van documenten moeten kunnen aantonen dat zij persoonsgegevens verwerken in overeenstemming met de geldende privacyregels. Het kost tijd en inspanning om deze documenten voor 25 mei 2018 gereed te hebben.

    Risico’s

    Indien een organisatie de komende privacy-verordening overtreedt dan kunnen de Autoriteit Persoonsgegevens en de andere Europese privacy-autoriteiten boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. De boete kan zelfs aan een bestuurder worden opgelegd. Naast de mogelijke boete is het risico op reputatieschade minstens zo groot. De Autoriteit Persoonsgegevens handhaaft en publiceert actief. Zeker als zij een handhavingsverzoek krijgt van bijvoorbeeld een werknemer, klant of andere betrokkene van wie je persoonsgegevens verwerkt. Klik hier voor meer informatie over dit handhavingsbeleid.

    10-stappenplan

    Om organisaties te helpen met de voorbereiding voor de komende privacy-verordening heeft de Autoriteit Persoonsgegevens (AP) een 10-stappenplan gepubliceerd. De 10 stappen die de AP noemt zijn:

    Stap 1: Bewustwording

    Dit is zeker de belangrijkste stap. De AP geeft ook terecht bij deze stap aan dat organisaties er rekening mee moeten houden dat de implementatie van de privacy-verordening veel kan vergen van de personen en middelen binnen de organisatie. Het is daarom van groot belang dat de bestuurders bewust zijn van deze impact.

    Stap 2: Rechten van betrokkenen

    De personen van wie jouw organisatie persoonsgegevens verwerkt, zoals werknemers, klanten, klanten van klanten en leveranciers worden ‘betrokkenen’ genoemd. Die hebben momenteel al het rechtop inzage, correctieen verwijdering. Onder de nieuwe regelgeving krijgen betrokkenen ook het rechtop dataportabiliteit. Daarbij heeft de betrokkene het recht om zijn of haar gegevens op makkelijke wijze te verkrijgen om deze bijvoorbeeld te kunnen doorgeven aan een andere organisatie.

    Stap 3: Overzicht verwerkingen

    Dit hangt samen met de documentatie- en verantwoordingsplicht. Binnen de organisatie zal een overzicht moeten worden gemaakt waarin onder meer moet zijn opgenomen welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

    Stap 4: Privacy impact assessment (PIA)

    Onder de komende privacy-verordening wordt je verplicht om voor bepaalde verwerkingen een zogeheten PrivacyImpact Assessment (PIA) uit te voeren. Dat is het geval als deze verwerking waarschijnlijk een hoog privacy-risico met zich meebrengt voor betrokkenen. Denk aan het verwerken op grote schaal van bijzondere persoonsgegevens, zoals medische gegevens. Verwerk je dergelijke gegevens dan is het verstandig om alvast een PIA uit te voeren. De Europese privacy-autoriteiten hebben een testfase met een template opgesteld. De AP zal later ook een lijst van verwerkingen publiceren waarvoor een PIA verplicht zal zijn.

    Stap 5: Privacy by design & privacy by default

    Deze begrippen worden verplichte uitgangspunten onder de nieuwe Privacy-verordening. Privacy by design houdt in dat bij het ontwerp van een product of dienst rekening wordt gehouden met de bescherming van persoonsgegevens. Privacy by default betekent dat de standaardinstellingen van jouw gegevensverwerking zo zijn ingesteld dat je niet meer persoonsgegevens verwerkt dan noodzakelijk zijn voor het specifieke doel dat je wil bereiken. Denk aan de instellingen van de apps die je aanbiedt, of het aanvinken van check boxes op jouw website, dan wel het vragen van meer gegevens dan nodig voor het toesturen van een nieuwsbrief.

    Stap 6: Functionaris voor de gegevensbescherming

    Alle overheidsinstellingen en organisaties die veel bijzondere persoonsgegevens verwerken zijn vanaf 25 mei 2018 verplicht om een functionarisvoor de gegevensbescherming (FG) aan te stellen.

    Stap 7: Meldplicht datalekken

    De meldplicht datalekken geldt in Nederland al vanaf 1 januari 2016. De privacy-verordening stelt wel strengere eisen aan jouw eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren, niet alleen de datalekken die zijn gemeld bij de AP. Mocht je nog geen procedure voor de meldplicht datalekken hebben, dan kun je gebruik maken van onze checklists.

    Stap 8: Bewerkersovereenkomsten

    Als je een dienstverlener inschakelt die in het kader daarvan persoonsgegevens verwerkt dan ben je verplicht schriftelijke afspraken te maken over de omgang met deze persoonsgegevens. Dat kan in een bewerkersovereenkomst. Omdat je als opdrachtgever verantwoordelijk blijft voor de verwerking van de persoonsgegevens is het belangrijk om goede afspraken te maken over de omgang met en de beveiliging van de persoonsgegevens, of de dienstverlener derden mag inschakelen, etc. Ik heb een checklist opgesteld waaruit volgt welke bepalingen in een bewerkersovereenkomst moeten zijn opgenomen om te voldoen aan de huidige én komende privacyregelgeving.

    Stap 9: Leidende toezichthouder

    Als je meerdere vestigingen hebt binnen de EU of handelt in meerdere landen, dan krijgt je onder de privacy-verordening nog maar te maken met één privacy-autoriteit, de leidende toezichthouder.

    Stap 10: Toestemming

    De privacy-verordening stelt strengere eisen aan toestemming. Je zult moeten kunnen aantonen dat je geldige toestemming hebt verkregen. Als je toestemming vraagt voor bepaalde verwerkingen van persoonsgegevens is het verstandig om deze alvast aan te passen aan de nieuwe vereisten. Naast dit stappenplan van de AP bespreken wij in een serie blogartikelen de tien meest relevante verplichtingen uit de komende privacy-verordening. Mocht je advies willen bij het implementeren van de huidige en komende privacyregels, neem dan contact op met Marieke Thijssen of Monique Hennekens