In de loop van 2018 verdwijnt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Die wordt in de Europese Unie vervangen door General Data Protection Regulation (GDPR). In goed Nederlands: de Algemene Verordening Gegevensbescherming (AVG). Die wordt op 25 mei 2018 definitief van kracht. Voor verwerkers van privacygevoelige gegevens is tot die tijd nog veel werk aan de winkel.

GDPR zorgt onder meer voor versterking en uitbreiding van privacyrechten. Publieke en private organisaties krijgen meer verantwoordelijkheden. Dat houdt in dat organisaties die persoonsgegevens verwerken aan strengere eisen moeten voldoen. Daarnaast krijgen de Europese privacytoezichthouders forse bevoegdheden. Organisaties die tekortschieten in de bescherming van persoonsgegevens kunnen rekenen op stevige boetes. Die kunnen oplopen tot ettelijke miljoenen euro’s. Daarom geef ik je 10 tips waarmee je direct je voordeel kunt doen.

Tip #1: Stel je op de hoogte van de nieuwe privacyregels

Maak een inschatting van de gevolgen van de GDPR voor je bedrijfsprocessen, diensten en goederen. Wanneer aanpassingen nodig zijn, moeten die tijdig worden voorbereid.

Tip #2: Leg privacyrechten vast in heldere procedures

Mensen van wie je persoonsgegevens verwerkt, krijgen meer en betere privacyrechten. Je kunt beter vastleggen hoe je het gebruik van die rechten faciliteert.

Tip #3: Houd alle persoonsgegevens (en de herkomst) in een overzicht bij

Een wezenlijk onderdeel van de GDPR is de documentatieplicht. Je moet de toezichthouder kunnen aantonen dat je gegevens in overeenstemming met de GDPR verwerkt.

Tip #4: Registreer toestemmingen om persoonsgegevens te verwerken

Je moet onweerlegbaar kunnen bewijzen dat je geldige toestemming van direct betrokkenen hebt gekregen om hun persoonsgegevens te verwerken.

Tip #5: Denk aan ‘Privacy by Design’ en ‘Privacy by Default’

Hierbij gaat het om privacyverhogende maatregelen en ‘dataminimalisatie’. Je mag alleen gegevens verwerken die noodzakelijk zijn voor het verwerkingsdoel.

Tip #6: Controleer de overeenkomst met uw gegevensverwerker(s)

Check hoe dan ook de verplichtingen met betrekking tot bescherming en geheimhouding van de persoonsgegevens. Pas de overeenkomst waar nodig aan.

Tip #7: Check of je een Privacy Impact Assessment (PIA) moet uitvoeren

Dit is al snel het geval bij dienstverlenende organisaties – zoals financiële instellingen, zorgverleners en onderwijs – waar kwetsbare gegevens worden opgeslagen.

Tip #8: Ga na of je een Data Protection Officer (DPO) moet aanstellen

Overheden en publieke organisaties zijn hiertoe verplicht. Beveiligingsbedrijven, zorg- en  onderwijsinstellingen hebben doorgaans ook een DPO nodig.

Tip #9: Stel vast wie jouw toezichthouder is

Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Dan is er één leidende toezichthouder. Deze zetelt meestal in het land waarin je hoofdkantoor is gevestigd.

Tip #10: Voorkom hoge boetes door datalekken binnen 72 uur te melden

Zorg voor duidelijke procedures om datalekken te signaleren, te rapporteren, te onderzoeken en binnen 72 uur bij de toezichthouder te melden.

Wil je de AVG in jouw organisatie implementeren? Kijk dan hier voor meer handige informatie. We helpen je graag om privacygevoelige gegevens veilig te beschermen. Heb je meer hulp nodig? Neem gerust contact met me op.

Bart Spel

"Het kan altijd beter. Dat je dat zelf niet ziet."

x

JOBS 13

JOBS 13