In 15 stappen naar de Algemene verordening gegevensbescherming (AVG) 2018

Op 25 mei 2018 nemen we afscheid van de Wet bescherming persoonsgegevens. Vanaf deze datum zullen organisaties moeten voldoen aan de bepalingen uit de uit de Algemene verordening gegevensbescherming (AVG) en de Invoeringswet algemene verordening gegevensbescherming.

Een groot aantal bepalingen komt overeen met de huidige Wet bescherming persoonsgegevens, maar uiteraard zijn er ook nieuwe bepalingen opgenomen. Met onderstaande 15 stappen willen wij u op weg helpen naar een succesvolle overgang van Wbp naar AvG 2018. Het is van belang om tijdig te beginnen aangezien er geen overgangsrecht van toepassing is.

Dit 15 stappenplan is zowel relevant voor Verwerkingsverantwoordelijken, de huidige Verantwoordelijke, als voor Verwerker, de huidige bewerker.

1. Bewustwording

Informeer directie, management team en stafmedewerkers, binnen ICT, CRM, Marketing, HRM of onderzoek over de aankomende veranderingen. Zij zullen moeten inschatten welke gevolgen de AVG heeft voor de organisatie.

Klik hier voor het stappenplan. Door te klikken op de link, wordt dan het pdf document met de stappen geopend.

2. Inventarisatie

Zorg er voor dat je weet welke persoonsgegevens de organisatie heeft, waar de gegevens vandaan komen (rechtstreeks van de betrokkene of op een andere wijze) en met welke partijen, intern en extern de gegevens worden gedeeld. Stel een zogeheten ‘datamodel’ en CRUD.

3. Register

Maak, zowel als Verwerkingsverantwoordelijke als Verwerker een register van alle soorten verwerkingen zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren. Hoewel het verwerkingsregister niet voor alle organisaties verplicht is, kan deze wel ondersteuning bieden voor de verantwoordingsplicht.
Leg als Verwerkingsverantwoordelijke een register aan met daarin welke verwerkers worden ingeschakeld, of er een verwerkersovereenkomst is gesloten, welke verwerkingen de verwerker mag uitvoeren, welke persoonsgegevens beschikbaar worden gesteld en welke extra beveiligingsmaatregelen zijn genomen.

4.Verantwoording

De gegevensverwerking moet niet alleen aan de beginselen voldoen, maar organisaties moeten dit door de AVG ook kunnen aantonen. Voor organisaties betekent dit meer onderbouwen, documenteren en periodiek reviewen.

5. Communicatie

Controleer of de bestaande privacy statements en informatieteksten voldoen aan de inhoudelijke eisen uit de AVG. De AVG geeft een opsomming van de informatie die verstrekt moet worden, zoals:
– de verwerkingsdoeleinden én de rechtsgrond van de verwerking;
– de gerechtvaardigde belangen dienen te worden toegelicht indien de
verwerking hierop is gebaseerd;
– de bewaartermijnen of criteria ter bepaling hiervan;
– de rechten die betrokkene hebben.

6. Rechten van betrokkene

Naast de bestaande rechten (inzage, correctie) bevat de AVG ook nieuwe rechten zoals recht op gegevenswissing (recht op vergetelheid) en recht van dataportabiliteit. Beoordeel de huidige procedures in de organisatie om te zien of en op welke wijze deze rechten door de betrokkene kunnen worden ingeroepen. Stel anders deze procedures op.

7. Verzoek tot toegang

Het recht op inzage is uitgebreid met vereisten welke informatie moet worden verstrekt bij een inzageverzoek. Aanvullend op de reeds bestaande informatie moet ook de bewaartermijn, of criteria ter bepaling hiervan) worden meegedeeld, maar ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Indien de organisatie ervoor kiest om toegang tot de gegevens te geven middels een account, dan dient onderzocht te worden op welke wijze kan worden voldaan aan de genoemde vereisten.

8. Grondslag en doelstellingen van gegevensverwerking:

Zowel in de communicatie naar betrokkene als bij een inzageverzoek, dient de organisatie aan te geven voor welke doeleinden zij gegevens verwerken en op welke grondslag. Organisaties dienen dus voor alle gegevensverwerkingen de grondslag en de doeleinden te documenteren.

Indien verwerkt wordt op grondslag ‘gerechtvaardigd’ belang, dan dienen ook deze belangen gedocumenteerd te worden.

Als gerechtvaardigd belang wordt genoemd de verwerking die strikt noodzakelijk is voor fraudevoorkoming en verwerking ten behoeve van Direct Marketing.
Voor statistisch onderzoek geldt, dat een verdere verwerking met het oog op statistisch onderzoek niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd, mits anoniem wordt gerapporteerd.

9. Toestemming

Toestemming moet in het vervolg expliciet worden aangetoond. Voor toestemming die ook betrekking heeft of andere aangelegenheden, gelden specifieke voorwaarden. De organisatie zal de huidige wijze van toestemming vragen dienen te evalueren, de toestemming vast te kunnen leggen in systemen en mogelijkheden bieden om de toestemming in te trekken. Toestemming dient ook verkregen te worden indien er persoonsgegevens verwerkt worden die niet noodzakelijk zijn voor de uitvoering van de overeenkomst.

Het verwerken van bijzondere persoonsgegevens (zoals ras, etnische afkomst, gezondheidsgegevens etc.) is in beginsel verboden. Het verbod kan echter opgeheven worden indien de Verwerkingsverantwoordelijke bijvoorbeeld de uitdrukkelijke toestemming van de betrokkene heeft of de verwerking als zodanig is genoemd in de AVG.

10. Kinderen

Als verwerking plaatsvindt op grond van ‘toestemming’ in verband met het aanbieden van diensten op internet aan een kind, dan mogen de persoonsgegevens van kinderen jonger dan 16 jaar uitsluitend verwerkt worden met toestemming van de ouders/wettelijk vertegenwoordigers. De organisaties moeten bovendien controleren of de ouder/wettelijk vertegenwoordiger verzorger toestemming heeft gegeven. Ga na of uw huidige systemen de leeftijd van het kind kunnen controleren, op welke wijze toestemming aan ouders kan worden gevraagd en hoe deze kan worden vastgelegd.

11. Datalek

Controleer of u sluitende procedures heeft voor het melden van datalekken, de opsporing en het onderzoek naar datalekken. Maar ook procedures voor het melden van datalekken bij de toezichthouder en/of betrokkene. Tevens is van belang om specifieke procedures te hebben voor datalekken die bij bewerkers plaatsvinden.

12. Gegevensbescherming door privacy by design en by default

De organisatie dient (om naleving te kunnen aantonen) interne beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan de beginselen van gegevensbescherming door ontwerp (minimalisering van verwerking/pseudonimiseren etc).
Stel procedures op die ervoor zorgen dat de bescherming van persoonsgegevens reeds bij de ontwikkeling van nieuwe producten/diensten, de uitvoering hiervan of de keuze en het gebruik van nieuwe toepassingen reeds in de beginfase wordt onderzocht en uitgewerkt om aan de beginselen van de AVG te kunnen voldoen.

13. Functionaris Gegevensbescherming (FG)/Data Protection Officer (DPO)

Stel vast of uw organisatie verplicht is een FG aan te stellen. Indien er voor de organisatie een verplichting is, dan dient er een FG te worden aangesteld. De AVG geeft tevens voorwaarden aan de positie, kennis en taken van de FG. Geen eigen FG, inlenen is mogelijk.

14. Internationaal (one-stop-shop)

Indien een organisatie meerdere vestigingen in de Europese Unie heeft, dient te worden vastgesteld welke toezichthoudende autoriteit als leidende autoriteit zal optreden voor grensoverschrijdende verwerkingen.

15. Bestaande contracten

De AVG stelt niet alleen voorwaarden aan de inzet van verwerkers maar ook de contractuele bepalingen in de overeenkomst tussen de organisatie en de verwerker. Om aan deze voorwaarden te kunnen voldoen, dient de organisatie de huidige contracten te reviewen, aan te passen en overeen te komen met de verwerkers. Gezien de looptijd van contracten is het aan te raden hier vroegtijdig mee te beginnen.

Voor vragen en advies?

Neem contact op met Singewald Consultants Group B.V.
Telefoonnummer: 0297 – 369 767 of
E-mail info@privacy.nl