Wat gaat er veranderen?
De AVG-wetgeving is een Europese privacywet die regelt dat bedrijven en organisaties zorgvuldig persoonsgegevens verwerken. Dit gebeurde in Nederland dus al met de Wet Bescherming Persoonsgegevens. Maar met de komst van deze nieuwe privacy wet gaat er toch het een en ander veranderen. Dit gaat er veranderen met de AVG-wetgeving:
- Versterking en uitbreiding van privacy rechten.
- Meer verantwoordelijkheden voor organisaties.
- Dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
In Nederland is de toezichthouder Autoriteit Persoonsgegevens. Deze autoriteit houdt toezicht op de naleving van de AVG en adviseert onder meer over nieuwe regelgeving en geeft voorlichting over de privacywet. De Autoriteit Persoonsgegevens heeft ook het recht boetes uit te delen tot een maximum van €20.000.000 of 4% van de jaaromzet.
Het doel van de AVG
Rechten voor betrokkenen (natuurlijke persoon)
De AVG is in de eerste plaats vooral bedoeld om personen en hun gegevens te beschermen. In de AVG wordt een persoon aangeduid als de ‘betrokkene’. De nieuwe AVG-wetgeving heeft tot gevolg dat de privacy rechten van de betrokkene sterker en uitgebreider wordt. Voorbeelden hiervan zijn:
- Organisaties moeten toestemming krijgen van de betrokkene om persoonsgegevens te verwerken.
- Organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen.
- Betrokkene moet gemakkelijk zonder opgave van reden zijn toestemming in kunnen trekken.
- Betrokkene heeft recht op inzage.
- Betrokkene heeft recht op rectificatie
- Betrokkene heeft recht op gegevenswissing het zgn. “recht op vergetelheid”. De organisatie moet alle persoonsgegevens wissen.
- Betrokkene heeft recht op beperking van de verwerking van zijn/haar gegevens
- Betrokkene heeft recht op overdraagbaarheid, het zogenoemde ‘ ‘dataportabiliteit’.
- Betrokkene heeft recht zijn/haar persoonsgegevens in een standaardformaat te ontvangen of kan zelfs eisen dat deze gegevens overgedragen worden aan bijvoorbeeld een andere leverancier. Denk maar aan overstappen van energieleveranciers of zorgverzekeraars.
Wat zijn de belangrijkste veranderingen voor organisaties?
Met de komst van de nieuwe privacywet krijgen organisaties een stevige verantwoordingsplicht. In de AVG worden deze ‘verwerkingsverantwoordelijke’ genoemd. De verwerkingsverantwoordelijke moet kunnen aantonen dat:
- Zij duidelijk en beknopt de betrokkenen informeert en mee communiceert.
- Zij de rechten van betrokkene ook kan faciliteren (binnen een maand).
- Zij technische en organisatorische maatregelen treft ter bescherming van de persoonsgegevens.
- Zij een gegevensbeschermingsbeleid voert.
- Zij regelmatig een gegevensbeschermingseffectbeoordeling (GEB) uitvoert, ook wel een Data Protection Impact Assessment (DPIA) genoemd.
- Zij een functionaris voor de gegevensbescherming heeft aangesteld indien zij daartoe is verplicht.
- Zij een ‘register van verwerkingsactiviteiten’ bijhoudt indien zij meer dan 250 medewerkers heeft.
Naast organisaties die verwerkingsverantwoordelijk zijn, zijn er ook organisaties die aangeduid worden als ‘verwerkers’. Verwerkers zijn organisaties die in opdracht van verwerkingsverantwoordelijken persoonsgegevens verwerken. Ook deze verwerkers hebben vrijwel soortgelijke plichten.
Praktische invulling van de AVG
Als bedrijf of organisatie verandert er dus nogal wat met de komst van deze privacywet. Om alles in goede banen te leiden kan je als bedrijf of organisatie als volgt te werk gaan:
- De organisatie brengt in kaart over welke persoonsgegevens zij beschikt. Ook namen van contactpersonen van leveranciers en afnemers zijn persoonsgegevens. Dit wordt vastgelegd in een verwerkingsregister.
- De organisatie voert een GEB uit. Een audit waaruit blijkt wat al goed is en waar knelpunten zitten. De knelpunten worden benoemd in een actieplan. In het actieplan worden ook de technische en organisatorische maatregelen benoemd om de knelpunten op te lossen.
- Vaststellen of zij een functionaris voor Gegevensbescherming moet aanstellen. Dat is het geval indien:
- De organisatie een overheidsorgaan is.
- Zij regelmatig en stelmatig op grote schaal observaties uitvoert (beveiligingsbedrijven).
- Zij op grote schaal specifieke gegevens verwerkt (voor ‘normale’ organisaties verboden).
- Ook al is de organisatie daartoe niet verplicht, het kan heel nuttig zijn om een Functionaris als waakhond aan te stellen. Bij een overtreding liegen de boetes er niet om.
- Indien de organisatie meer dan 250 medewerkers heeft, is het verstandig een ‘register van verwerkingsactiviteiten’ op te maken. Dit zal vrijwel altijd digitaal en softwarematig ingericht zijn.
Gedragscodes en certificering
Artikel 40 uit de AVG stelt dat de autoriteiten ‘gedragscodes en certificering’ bevorderen. Er zijn twee generieke certificeringen die aan het beoogde doel beantwoorden:
ISO27001: managementsysteem voor informatiebeveiliging
NEN7510: managementsysteem voor informatiebeveiliging in de zorg.
Meer over het verschil tussen de NEN 7510 en de ISO 27001 normen lees je in deze blog.
Wat kan Schonewille voor u betekenen?
- Wij kunnen een informatiestroomregister opstellen.
- Een persoonsgegevensbeleid formuleren.
- Organisatorische handvatten bieden.
- Een DPIA (audit) uitvoeren met een beoordeling.
- U ondersteunen met een certificeringstraject conform ISO27001 of NEN7510.