Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening

Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening

Thema's: Privacy, Privacy compliance

7 november 2016

Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming in werking getreden. Organisaties krijgen tot 25 mei 2018 om de nieuwe privacyregels te implementeren, want vanaf die datum is deze verordening ook daadwerkelijk van toepassing. Niet willen weten welke veranderingen er in de privacyregelgeving op stapel zijn, is geen optie meer.

De Algemene Verordening Gegevensbescherming (AVG) is rechtstreeks van toepassing in alle EU-lidstaten. De boete die de Autoriteit Persoonsgegevens en de Europese collega-autoriteiten vanaf dat moment kunnen opleggen kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. De boete kan zelfs aan een bestuurder worden opgelegd. Dus goed om te weten wat u moet doen. Om u op weg te helpen bespreken wij in een serie blogartikelen de tien meest relevante verplichtingen uit de komende privacy verordening.

Deze 10 onderwerpen komen aan bod (klik op de titel voor een link naar de betreffende blog):

1. Documentatieplicht

Iedere organisatie zal aan de hand van documenten moeten kunnen aantonen dat zij aan de AVG voldoet. Er zal daarom een privacybeleid moeten worden opgesteld.

2. Doel, doelbinding en wettelijke grondslag

Persoonsgegevens mogen uitsluitend worden verwerkt voor welbepaalde en omschreven doeleinden. De persoonsgegevens mogen niet buiten deze doeleinden worden verwerkt. Daarnaast zal de gegevensverwerking gebaseerd moeten zijn op één van de in de AVG genoemde wettelijke grondslagen. 

3. Functionaris voor de gegevensbescherming (FG; Privacy Officer)

Overheidsinstanties, zorgverleners en andere organisaties die op grote schaal bijzondere persoonsgegevens, zoals medische gegevens of strafrechtelijke gegevens, verwerken zijn onder de AVG verplicht om een Functionaris voor de gegevensbescherming aan te stellen.

4. Beveiligingsbeleid

Beveiliging is een essentieel vereiste van de AVG. Alle technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking dienen te worden omschreven in een beveiligingsbeleid. "Privacy by design" en "privacy by default" worden belangrijke uitgangspunten.

5. Meldplicht datalekken

Ook in de AVG bestaat de verplichting tot het melden van datalekken. De meldplicht wordt zelfs nog ruimer dan de huidige Nederlandse meldplicht datalekken. Zie ook onze checklists voor het invoeren van een procedure voor de meldplicht datalekken.

6. Afspraken met dienstverleners (bewerkers)

Als een ingeschakelde dienstverlener persoonsgegevens in opdracht van uw organisatie verwerkt (denk aan salarisadministratiekantoor, cloud provider, ICT beheerder) moeten de afspraken over de omgang met de persoonsgegevens schriftelijk zijn vastgelegd, bijvoorbeeld in een bewerkersovereenkomst.

7. Transparantie en informatieplicht

Transparantie is in de AVG een apart beginsel dat inhoudt dat het voor de betrokkenen kenbaar moet zijn dat en hoe zijn persoonsgegevens worden verwerkt. Om hieraan te voldoen zal iedere organisatie iedereen van wie zij persoonsgegevens verwerkt op een duidelijke en eenvoudig raadpleegbare wijze uitgebreid moeten informeren.

8. Doorgifte naar landen buiten de EU

Persoonsgegevens mogen alleen buiten de EU worden verwerkt als aan strikte voorwaarden wordt voldaan. Dat is nodig dan u denkt, want opslag in de cloud bij een Amerikaanse provider (zoals gebruik maken van Office 365) of onderhoud op systemen vanuit India worden ook beschouwd als doorgifte naar een land buiten de EU.

9. Rechten betrokkenen

Naast het recht op inzage, correctie en verzet krijgt iedere natuurlijke persoon waar persoonsgegevens van worden verwerkt het recht om vergeten te worden en het recht op dataportabiliteit.

10. Handhaving en boetes

Als laatste onderwerp zullen we het nieuwe boeteregime en de 'one stop shop' bespreken, het regime dat één privacy autoriteit binnen de EU leidend is voor uw organisatie.

Mocht u advies willen bij het implementeren van de huidige en komende privacyregels, neem dan contact op met Marieke Thijssen, Monique Hennekens of Liesbeth Woolschot.