Beveiligingscriteria van de AVG (Algemene Verordening Gegevensbescherming)

Per 25 mei 2018 zal de huidige Wet bescherming persoonsgegevens (Wbp) worden vervangen door de Algemene Verordening Gegevensbescherming (AVG), die in de hele Europese Unie zal gelden. Het is voor jou als ondernemer van essentieel belang dat je goed op de hoogte bent van wat deze nieuwe privacywet voor jou betekent, en dat je je tijdig op de invoering voorbereid. Op die manier kun je voorkomen dat je boetes krijgt van de Autoriteit Persoonsgegevens (AP). In dit artikel vertellen we je alles dat je over de AVG moet weten!

Waarom komt er een nieuwe Europese privacywetgeving?

Op dit moment is elke lidstaat in de Europese Unie een nationale privacywet van toepassing. Deze wetten zijn gebaseerd op de Europese privacyrichtlijn uit 1995. Omdat internet destijds nog in de kinderschoenen stond en er sindsdien veel veranderd is en de grenzen tussen de landen zijn vervaagd, heeft men besloten de Europese privacyrichtlijn te herzien en in alle lidstaten dezelfde wet te hanteren.

Voor wie geldt de nieuwe Europese privacywet?

De AVG is van toepassing op alle organisaties en (zelfstandige) ondernemers die persoonsgegevens verwerken, dus ook voor ZZP’ers en kleine MKB’ers. Ook als je slechts een paar klanten hebt, of verder geen personeel in dienst hebt. Zelfs als je alleen maar de e-mailadressen van je opdrachtgevers zou hebben, moet je rekening houden met de nieuwe privacywet.

Wat gaat er straks veranderen met de nieuwe wetgeving?

De AVG zal gaan zorgen voor een aantal belangrijke veranderingen:

  • Privacy rechten worden versterkt en uitgebreid
  • Organisaties en ondernemers krijgen meer verantwoordelijkheden
  • Alle Europese privacy-toezichthouders krijgen dezelfde bevoegdheden (zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen)

Wat moet ik doen om me op de invoering van de nieuwe privacywet voor te bereiden?

Als ondernemer zijn er een aantal dingen die u moet doen:

  • Stel een privacyverklaring op om je klanten te informeren.
    Zorg dat je in duidelijke taal uitlegt wat je precies doet met persoonlijke gegevens. Denk aan waarvoor je de gegevens gebruikt en hoe lang ze bewaart blijven. Wijs je klanten ook op de rechten die zij hebben. Hierbij kunt je denken aan het recht op inzage en het aanpassen en verwijderen van gegevens, het recht om toestemming te beperken en weer te kunnen intrekken, en het recht op dataportabiliteit (betrokken moeten hun persoonsgegevens makkelijk kunnen doorgeven aan een andere organisatie). Wijs je klanten ook op hun recht op het indienen van klachten bij de AP en leg uit dat de AP verplicht is deze klachten in behandeling te nemen.
  • Breng in kaart hoe je gegevens verwerkt worden.
    Zodra de AVG van kracht is, moet je als ondernemer in staat zijn om verantwoording af te leggen met betrekking tot de manier waarop je gegevens gebruikt. Zorg daarom dat je gegevensverwerkingen duidelijk in kaart brengt. Maak zowel je klanten als je leveranciers duidelijk welke gegevens je gebruikt, voor welke doeleinden, waar ze worden opgeslagen en met wie ze worden gedeeld. Mocht een betrokkene ooit gebruik maken van zijn of haar privacy rechten, dan zal je dit overzicht van gegevensverwerkingen nodig hebben.
  • Maak een Data Privacy Impact Assessment (DPIA).
    Indien de manier waarop je gegevens verwerkt een potentieel hoog privacy risico bevat (wanneer je bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt of mensen volgt, of systematisch en uitvoerig persoonlijke aspecten evalueert), dan ben je mogelijk verplicht een DPIA uit te voeren: een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Dit stelt je in staat om tijdig maatregelen te treffen om de risico’s te minimaliseren. Lukt het niet om de risico’s te minimaliseren, dan dien je voor verwerking van de gegevens met de AP te overleggen. Zij zullen dan beoordelen of de gegevensverwerking in strijd is met de AVG, en een schriftelijk advies verstrekken.
  • Hou bij het ontwerpen van nieuwe producten of diensten rekening met ‘privacy by default.’
    Bij het ontwerpen van nieuwe producten of diensten moet je er al in de ontwerpfase voor zorgen dat persoonsgegevens zo goed mogelijk beschermd worden. Deze aanpak noemen we ‘privacy by design.’ Zorg ervoor dat je rekening houdt met ‘privacy by default’, dus dat je uitsluitend persoonsgegevens verwerkt die noodzakelijk zijn voor het beoogde doel. Zo mag je mensen die zich op je nieuwsbrief willen abonneren niet om meer gegevens vragen dan je daadwerkelijk nodig hebt.
  • Zoek uit of je een functionaris gegevensbescherming nodig hebt.
    Indien je organisatie op grote schaal gegevens verwerkt, kan de AVG je mogelijk verplichten om een functionaris voor de gegevensbescherming (FG) in te schakelen. Zo’n FG is verantwoordelijk voor het houden van toezicht, het inventariseren van gegevensverwerkingen, het bijhouden van meldingen van gegevensverwerkingen, het afhandelen van zowel interne als externe vragen en klachten, het ontwikkelen van interne regelingen, het verstrekken van advies met betrekking tot technologie en beveiliging, en het geven van input bij het opstellen of aanpassen van gedragscodes.
  • Documenteer alle datalekken.
    Met de AVG ben je verplicht om alle datalekken intern te documenteren. Indien je organisatie privacygevoelige data voor opdrachtgevers vastlegt, dan ben je wettelijk verplicht om alle datalekken aan hen door te geven, zodat zij een melding bij de AP kunnen maken.
  • Zorg voor een bewerkersovereenkomst.
    Je dient een zogeheten bewerkersovereenkomst te hebben met elke organisatie die persoonsgegevens voor je verwerkt, ook als die organisatie in het buitenland gevestigd is. In een bewerkersovereenkomst dienen de volgende zaken aan bod te komen:
    • Bewerking in overeenstemming met de instructies van de verantwoordelijke;
    • Geheimhouding;
    • Veiligheidsmaatregelen;
    • Welke derden en onderaannemers worden ingeschakeld;
    • De locatie waar de gegevens worden opgeslagen;
    • Audits en onderzoeken;
    • Aansprakelijkheid.
      Indien je al een bewerkersovereenkomst hebt, moet je controleren of deze aan de AVG voldoet.
  • Bepaal wie de leidend toezichthouder is.
    Indien je organisatie in meerdere landen binnen de Europese Unie actief is, of je gegevensverwerkingen op meerdere lidstaten van invloed zijn, dan hoef je volgens de AVG slechts met één privacy toezichthouder zaken te doen. Zorg dat je tijdig bepaald welke instantie dat is.
  • Zorg dat je kunt aantonen dat je geldige toestemming hebt verkregen voor het verwerken van persoonsgegevens.
    Na de invoering van de AVG moet je kunnen aantonen dat je geldige toestemming hebt verkregen voor het verwerken van persoonsgegevens. Het is daarom belangrijk dat je kritisch kijkt naar de manieren waarop je om die toestemming vraagt, alsmede hoe je die toestemming krijgt en hoe je personen registreert. 

Wanneer je bovengenoemde zaken in acht neemt, ben je al goed op weg om jezelf en je organisatie voor te bereiden op de invoering van de nieuwe Europese privacywet. 

Voor meer informatie omtrent de Algemene Verordening Gegevensbescherming kun je de website van de Nederlandse Autoriteit Persoonsgegevens raadplegen.