Ben jij klaar voor de nieuwe privacywetgeving?

Met ingang van 25 mei 2018 geldt nog maar één privacywet in de hele EU: de Algemene Verordening Gegevensbescherming (AVG). De Wet Bescherming Persoonsgegevens (Wbp) komt hiermee te vervallen. Het uitgangspunt van de AVG is dat persoonsgegevens alleen mogen worden verwerkt wanneer dat strikt noodzakelijk is en enkel door personen die hier daadwerkelijk toegang toe dienen te hebben.

Zodra je persoonsgegevens verwerkt heb je te maken met de AVG. Bij persoonsgegevens gaat het om informatie die direct of indirect leidt tot het identificeren van een persoon. Hierbij kun je denken aan naam, adres, BSN-nummer, e-mailadres, maar ook bijvoorbeeld iemands kenteken of IP-adres. Kortom je hebt al snel te maken met de AVG.

Door de AVG krijgen ondernemingen meer verantwoordelijkheden voor de beveiliging van persoonsgegevens. Ook moet iedere onderneming kunnen aantonen dat zij zich houden aan de privacyregels. Afhankelijk van de grootte van de onderneming, de bedrijfsactiviteiten en de mate waarin persoonsgegevens worden verwerkt kan het zijn dat een ondernemer aanvullende verplichtingen krijgt opgelegd vanuit de AVG.

Ben jij klaar voor de nieuwe privacywetgeving? Om te bepalen aan welke eisen je moet voldoen kun je gebruikmaken van onderstaand stappenplan.

Stap 1: Breng de huidige verwerking van persoonsgegevens in kaart

Zorg dat je hierbij in ieder geval de volgende vragen beantwoordt:

  • Welke persoonsgegevens verwerk je binnen de organisatie?
  • Van wie verwerk je persoonsgegevens?
  • Door wie worden de persoonsgegevens verwerkt?
  • Met wie deel je de persoonsgegevens en met welk doel deel je deze persoonsgegevens?
  • Met welk doel verwerk je persoonsgegevens? (zie stap 2)
  • Wat is de grondslag van de verwerking? (zie stap 2)

 

Stap 2: Stel vast wat het doel en de grondslag is voor de verwerking van persoonsgegevens

Om de verwerking van persoonsgegevens in kaart te brengen, dien je na te gaan met welk doel je deze gegevens verwerkt. Het is alleen toegestaan om persoonsgegevens te verwerken als je beschikt over:

  • een duidelijk bepaald, uitdrukkelijk omschreven en gerechtvaardigd doel van de verwerking van persoonsgegevens, en;
  • een van de in de AVG genoemde grondslagen:
    – toestemming van de betrokkene;
    – wettelijke verplichting;
    – noodzakelijk vanwege de uitvoering van een overeenkomst;
    – vitaal belang;
    – algemeen belang.

 

Stap 3: Stel vast of je verplicht bent een register van verwerkingsactiviteiten aan te leggen

In sommige situaties ben je verplicht een register van verwerkingsactiviteiten op te maken. Deze verplichting geldt als je aan één van onderstaande punten voldoet:

  • Je hebt meer dan 250 medewerkers in dienst.
  • Je verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van personen zoals bij grootschalige verwerking van bijvoorbeeld gezondheidsgegevens.
  • Je verwerkt structureel persoonsgegevens.
  • Je verwerkt bijzondere persoonsgegevens, zoals gegevens met betrekking tot godsdienst, gezondheid, BSN, politieke voorkeur of strafrechtelijke gegevens.

Tip! Ook als je niet verplicht bent om een register van verwerkingsactiviteiten op te stellen, is het wel verstandig om dit te doen.

Wat moet in dit register worden opgenomen?

  • De naam en de contactgegevens van de onderneming.
  • De functionaris voor gegevensverwerking (eventueel).
  • De verwerkingsdoeleinden.
  • Een beschrijving van de categorieën van betrokkenen van wie je gegevens verwerkt.
  • Een beschrijving van de categorieën van persoonsgegevens die je verwerkt.
  • De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.
  • Deel je gegevens met een derde land of een internationale organisatie, dan dien je dit aan te geven.
  • De datum waarop je de persoonsgegevens moet wissen.
  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die je hebt genomen om de persoonsgegevens die je verwerkt te beveiligen.

 

Stap 4: Stel vast of je verplicht bent om een risicoanalyse (DPIA) uit te voeren

Een DPIA is een hulpmiddel om vooraf de privacyrisico’s in kaart te brengen en deze vervolgens te verkleinen door maatregelen te treffen. Je bent verplicht een DPIA uit te laten voeren wanneer je aan één of meerdere onderstaande voorwaarden voldoet:

  • Je beoordeelt systematisch en uitgebreid persoonlijke aspecten van personen, op grond waarvan besluiten worden genomen en waaraan voor de persoon rechtsgevolgen zijn verbonden. (Bijvoorbeeld profilering).
  • Je verwerkt op grote schaal bijzondere persoonsgegevens verwerkt.
  • Je volgt mensen in een openbare ruimte grote schaal en stelselmatig (bijvoorbeeld aan de hand van cameratoezicht).

Een DPIA dient in ieder geval het volgende te bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroep je je op een gerechtvaardigd belang als grondslag voor de verwerking, dan moet je dit belang ook opnemen in de beschrijving.
  • Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen. Dat houdt in dat je moet beoordelen of het verwerken van persoonsgegevens op deze manier noodzakelijk is om je doel te bereiken, en of de inbreuk op de privacy van de betrokkenen niet onevenredig is in verhouding tot het doel.
  • Een beoordeling van de privacyrisico’s voor de betrokkenen.
  • De beoogde maatregelen om de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen).

 

Stap 5: Stel vast of je verplicht bent een functionaris gegevensbescherming (FG) aan te stellen

Het aanstellen van een FG is verplicht als je aan één of meerdere onderstaande voorwaarden voldoet:

  • Je bent een overheidsinstantie of publieke organisatie (denk hierbij aan de rijksoverheid en zorg- en onderwijsinstellingen).
  • Vanuit je kerntaak observeer je regel- en stelselmatig individuen op grote schaal.
  • Vanuit je kerntaak verwerk je bijzondere persoonsgegevens op grote schaal.

De FG heeft een aantal taken die hij verplicht dient uit te voeren:

  • Het informeren en adviseren over je verplichtingen uit de AVG en andere privacywetgeving.
  • Het naleven en toepassen van die verplichtingen.
  • Adviseren over het uitvoeren van een data protection impact assessment (DPIA).
  • Adviseren over het register van verwerkingsactiviteiten.
  • De FG is de contactpersoon voor je organisatie bij de Autoriteit Persoonsgegevens.

Als je niet verplicht bent een FG aan te stellen, kun je dit ook vrijwillig doen. De FG dient wel deskundig genoeg te zijn en geen conflicterend belang te hebben.

 

Stap 6: Stel een privacybeleid op

Je bent verplicht een privacybeleid op te stellen als dat in verhouding staat tot je verwerkingsactiviteiten. Ook als je niet verplicht bent om een privacybeleid op te stellen is het wel verstandig om te doen. Onder de AVG heb je als ondernemer namelijk ook een verantwoordingsplicht. Dit betekent dat je moet kunnen aantonen dat jouw organisatie zich aan de wet houdt. Door het opstellen van een privacybeleid, kun je makkelijker aan de verantwoordingsplicht voldoen.

Het is belangrijk dat het privacybeleid in eenvoudige taal is opgesteld en uitlegt wat je doet met persoonlijke gegevens. Ook moet het privacybeleid personen wijzen op hun rechten ten aanzien van het aanpassen van het dossier, het opvragen van het dossier en zelfs het vernietigen daarvan. Bovendien dien je de mogelijkheid op te nemen om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Het privacybeleid dient in ieder geval het volgende te bevatten:

  • Naam en contactgegevens van de onderneming.
  • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing).
  • Doel van de verwerking van de persoonsgegevens.
  • De bewaartermijn van persoonsgegevens.
  • Beschrijven welke beveiligingsmaatregelen worden getroffen.
  • Beschrijven hoe wordt omgegaan met een datalek.
  • De betrokkene erop wijzen dat hij/zij recht heeft op:
    – inzage, wissen en rectificatie van de persoonsgegevens;bezwaar maken tegen verwerking;
    – dataportabiliteit (het recht om je persoonsgegevens te kunnen meenemen);
    – het intrekken van eerder gegeven toestemming;
    – klacht indienen bij de Autoriteit Persoonsgegevens.

 

Stap 7: Controleer de overeenkomsten met je contractpartijen

Check alle overeenkomsten die betrekking hebben op het gebruik van persoonsgegevens. Wie zijn de bewerkers, de betrokkenen et cetera. In al deze overeenkomsten dienen de nieuwe verplichtingen en rechten uit de AVG te worden verwerkt.

Sluit als eindverantwoordelijke een zogeheten verwerkersovereenkomst met je leveranciers en afnemers waarin de afspraken worden vastgelegd over de omgang met persoonsgegevens. Een verwerker is een derde die ten behoeve van jouw organisatie persoonsgegevens verwerkt. Hierbij kun je denken aan je softwareleverancier. Je bent verplicht om met de verwerker een overeenkomst aan te gaan. In deze overeenkomst dient in ieder geval de volgende informatie te staan:

  • Algemene beschrijving van:
    – de inhoud, de duur en het doel van de verwerking;
    – het soort persoonsgegevens;
    – de categorieën van betrokkenen;
    – de rechten en verplichtingen van de verwerkingsverantwoordelijke.
  • Instructies verwerking
    De verwerking van persoonsgegevens door de verwerker mag slechts plaatsvinden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.
  • Geheimhoudingsplicht
    Aan de verwerker moet een geheimhoudingsplicht worden opgelegd.
  • Beveiliging
    De verwerker moet passende technische en organisatorische maatregelen treffen om de verwerking te beveiligen, zoals:
    – pseudonimisering en versleuteling van persoonsgegevens;
    – permanente informatiebeveiliging;
    – herstel van beschikbaarheid;
    – toegang tot gegevens bij incidenten;
    – regelmatige beveiligingstesten.
  • Subverwerkers
    De verwerker mag geen subverwerker(s) inschakelen zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerker legt in een verwerkersovereenkomst dezelfde verplichtingen op aan de subverwerker, als de verplichtingen die de verwerker heeft richting de verwerkingsverantwoordelijke.
  • Verplichtingen privacyrechten
    De verwerker zal de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht, als betrokkenen hun privacyrechten willen uitoefenen. Het gaat om privacyrechten zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit.
  • Nakomen verplichtingen verwerkingsverantwoordelijke
    De verwerker verleent de verwerkingsverantwoordelijke bijstand bij het uitoefenen van diens verplichtingen, zoals het melden van datalekken, het uitvoeren van een data protection impact assessment en bij een voorafgaande raadpleging.
  • Gegevens verwijderen
    Eindigt de verwerkingsovereenkomst, dan dient de verwerker alle gegevens te verwijderen of aan de verwerkingsverantwoordelijke terug te bezorgen, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
  • Audits
    De verwerker dient de verwerkingsverantwoordelijke alle informatie ter beschikking te stellen die nodig is om te controleren of hij zich als verwerker aan de hierboven genoemde verplichtingen houdt. Daarnaast dient de verwerker mee te werken aan audits.

Als je ervoor kiest om te payrollen zorgt Please, als juridisch werkgever, voor een verwerkersovereenkomst. Wij zijn immers eindverantwoordelijke voor de verwerking van de persoonsgegevens van de medewerkers van onze opdrachtgevers.

 

Stap 8: Stel een draaiboek op voor eventuele datalekken

Er is sprake van een datalek op het moment dat er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is onder andere het geval als iemand toegang krijgt tot persoonsgegevens of persoonsgegevens openbaar toegankelijk worden zonder dat dit de bedoeling is. Als er sprake is van een datalek treden er mogelijke verplichtingen op zoals het inlichten van de Autoriteit Persoonsgegevens en de betrokkenen. Indien je op dat moment nog niet in kaart hebt gebracht wat het protocol is bij een datalek ben je te laat. Stel dus een draaiboek op waarbij je de te zetten stappen, in geval van een vermoedelijk datalek, vastlegt. Denk hierbij aan het identificeren van het datalek en de wijze waarop je hiermee omgaat.