Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Wat kan ik doen?
Als organisatie kan je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om je hier bij te helpen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen voor je op een rijtje gezet. In het grote AVG-dossier op de website van de AP vindt je de antwoorden op veelgestelde vragen.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die je kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.
Bedenk dat de AP jouw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van jouw wereldwijde omzet als je je niet aan de nieuwe privacywetgeving houdt.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop je met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij jou vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens heeft gedeeld.
U moet een DPIA uitvoeren als jouw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Je kan nu alvast inschatten of je straks DPIA’s moet uitvoeren en hoe je dit dan gaat aanpakken.
Komt straks uit een DPIA naar voren dat jouw beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start.
Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt je een schriftelijk advies van de AP.
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:
- een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op jouw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Wanneer de guidelines definitief zijn, kan Autoriteitpersoongegevens.nl jou volledig informeren over de meldplicht datalekken onder de AVG.
Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.