Sinds 25 mei 2018 moet ook uw organisatie voldoen aan de Algemene verordening gegevensbescherming (AVG). Wat is er precies veranderd en waar dient u als organisatie rekening mee te houden?
Het centrale begrip ‘persoonsgegevens’ verandert namelijk: naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens gekoppeld aan IP-adressen, MAC-adressen, cookies en dergelijke onder de wet. Ook als u niet weet hoe de persoon achter een cookie heet, dient u dat gegeven te behandelen als privacygevoelig.
U moet in eenvoudige taal precies en volledig uitleggen (in een privacyverklaring) wat u doet met persoonlijke gegevens.
Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen.
Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet u ze wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
Een Functionaris Gegevensbescherming (FG) – ook wel Data Protection Officer (DPO) of Privacy Officer genoemd – is een onafhankelijke persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal). Een FG kan iemand zijn die intern aangesteld wordt, maar mag ook iemand zijn die extern aangesteld wordt, zoals een (virtuele) FG van ICTRecht.
Volgens de oude privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. De AVG stelt het verplicht om alle datalekken intern te documenteren, óók datalekken die niet hoeven te worden gemeld. En verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan bent u straks wettelijk verplicht alle datalekken daarbij aan hen te melden, zodat zij dit weer aan de toezichthouder kunnen melden. Lees meer in onze factsheet over het registreren van datalekken.
In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Meer informatie vindt u in onze factsheet over het verwerkingsregister.
In de verwerkersovereenkomst maakt u specifieke afspraken over de omgang met persoonlijke gegevens. Een belangrijk aandachtspunt daarbij is dat wanneer u diensten uitbesteedt waarbij persoonsgegevens van een klant zijn betrokken, u hiervoor toestemming nodig hebt van die klant.
De maximale boete per overtreding van de oude privacywet was 900.000 euro. Dit veranderde met de komst van de AVG naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG.
Dit is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat de DPIA is uitgevoerd en de resultaten geïmplementeerd, mag u die risicovolle verwerking uitvoeren. Meer informatie vindt u in onze factsheet over de DPIA.
Dit wordt ook wel ‘Privacy by design’ en ‘Privacy by default’ genoemd. Kort gezegd moet bij elke stap in de ontwikkeling de privacyaspecten worden benoemd en meegenomen in de uitwerking. Daarnaast moeten standaardinstellingen van een nieuwe dienst zo privacyvriendelijk mogelijk zijn.
Het is belangrijk dat medewerkers hiervan op de hoogte zijn. Zij moeten dus worden getraind, en dit moet regelmatig worden herhaald.
Maar wanneer u verouderde gegevens heeft moeten deze worden gewist op verzoek. Een verzoek van een betrokkene over zijn persoonsgegevens moet normaal binnen een maand inhoudelijk afgehandeld zijn. Is uw helpdesk hier al op ingericht?
Dat laatste is alleen toegestaan als er wordt voldaan aan strikte regelgeving, bijvoorbeeld als het land in kwestie door de Europese Commissie gecertificeerd is. De VS is dat, het zogeheten Privacy Shield biedt de nodige waarborgen voor gebruik van Amerikaanse partijen. Maar let op, uw klanten kunnen van u eisen dat data gewoon in het geheel niet de EU verlaat.
Dit ligt gevoelig onder de AVG, omdat dergelijke biometrische gegevens een streng beschermingsregime genieten.
Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.
Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.
Meld u nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals contracteren, informatiebeveiliging, innovatie, marketing, cloud, e-commerce, privacy en overheid.