Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing voor alle organisaties (dus ook kleine firma’s of ZZP-ers) die gegevens van personen (persoonsgegevens) bewaren.
Voorafgaand aan de daadwerkelijke stappen, die genomen moeten worden om te voldoen aan de AVG is het belangrijk en noodzakelijk dat de relevante mensen in de organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacy regels. Implementatie van de AVG kan, zeker bij grotere organisaties, om veel tijd en middelen vragen.

Stap 1
Stel vast waarom, hoe en welke persoonsgegevens je bewaart. Breng de gegevensverwerking van je organisatie in kaart. Ga na welke persoonsgegevens worden verzameld, waar die worden bewaard en voor welke doeleinden. Leg alleen persoonsgegevens vast die je nodig hebt en gebruik deze alleen voor het doel waarvoor je ze verzamelt.

Stap 2
Laat weten wat je bewaart. De betrokkenen moeten toestemming geven voor het gebruik van hun persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. De betrokkenen moeten weten dat hun persoonsgegevens worden verwerkt en met welk doel. Zijn hebben het recht hun gegevens op te vragen, in te zien, aan te (laten) passen of te laten vernietigen. Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven.

Stap 3
Leg vast hoe de organisatie met de gegevens omgaat. Organisaties hebben een verantwoordingsplicht. Dat betekent dat vastgelegd moet worden wie de verwerkingsverantwoordelijke is en wie de verwerker is, aan wie informatie wordt verstrekt, waar (bv. op welke computer) deze wordt opgeslagen en op welke wijze deze wordt beschermd tegen virussen en hacken. Centraliseer de gegevensopslag. Verspreiding van data over verschillende computers of systemen zonder dat dat noodzakelijk is, kan uitgelegd worden als datalekken. Stel procedures op om personen toegang te geven tot de informatie. Dit geldt ook voor externe gebruikers van de bestanden.

Stap 4
Ken de rechten van individuen en de plichten van je organisatie. Je bedrijf en je bedrijfsprocessen moeten kunnen inspelen op alle rechten die individuele personen hebben, bijvoorbeeld: opvragen en overdragen van persoonlijke gegevens, correctie of verwijdering van gegevens, aantonen van expliciete geldige toestemming, preventie van direct-marketing zonder toestemming.

Stap 5
Evalueer je huidige bedrijfsprocessen. Onderzoek of je huidige processen, diensten en goederen op bepaalde punten moeten worden aangepast om te voldoen aan de AVG.

• Stel zo nodig een functionaris voor de gegevensbescherming (FG) aan. Of leg vast wie de gegevens bewerkt en beheert.
• Stel een verwerkingsovereenkomst op met de plichten en rechten van de functionaris. Deze mag alleen handelen in opdracht van de verantwoordelijke en legt verantwoording af aan de verantwoordelijke, meestal de directeur of het bestuur.
• Ga na of het nodig is om ‘privacy by design’ (privacy maatregelen in het ontwerpproces van nieuwe producten) en ‘privacy by default’ (bij gebruik moet de meest privacy vriendelijke instelling aanstaan) meer te integreren in je bedrijfsvoering. Vergeet ook niet de data-portabiliteit (overdracht) en de door jou gebruikte formats voor informatieverstrekking te screenen.
• Doe zo nodig een ‘Data Protection Impact Assessment’ (DPIA). Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf.

Stap 6
Stel een procedure op voor het melden van datalekken. Datalekken moeten gemeld worden binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat wat een datalek is, welke gegevens gelekt zijn, wie geïnformeerd moet worden binnen en buiten de organisatie, wat de gevolgen zijn.

Stap 7
Plan organisatorische en budgettaire maatregelen in. Maak een planning en een kostenraming om je huidige processen, diensten en goederen aan te passen om te voldoen aan de AVG.

Stap 8
Voer je planning uit en volg de implementatie op. En blijf op de hoogte van eventuele nieuwe veranderingen.

• Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (publicatieblad van de Europese Unie 4.5.2016 L119/1)
• Autoriteit Persoonsgegevens, Nieuwe privacywetgeving vanaf 25 mei 2018, ‘de AVG in een notendop’
• Artikel ‘Nieuwe privacywet’, Consumentengids 2018-02
• Grip op de AVG (dr. Koen Vermissen CIPP/E, mr. Drs. Jeroen Terstegge CIPP-E/US, Natalja Krijsman MSc CIPM) – ISBN 978-90-13-13920-4

PROINT, februari 2018.