Tienstappenplan als voorbereiding op nieuwe privacywet

24-04-2017

De Autoriteit Persoonsgegevens (AP) heeft tien stappen benoemd die organisaties kunnen helpen bij de voorbereidingen op de nieuwe Europese privacywetgeving. Ook heeft zij samen met de andere Europese privacytoezichthouders richtlijnen opgesteld die meer uitleg geven over wanneer en hoe organisaties de privacyrisico's in beeld kunnen brengen.

 

Gegevensbescherming

Vanaf mei 2018 moeten organisaties voldoen aan de nieuwe Algemene verordening gegevensbescherming (Avg). Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. De Avg geldt voor de hele Europese Unie en vervangt in Nederland de huidige Wet bescherming persoonsgegevens. Deze nieuwe wet versterkt privacyrechten van mensen, breidt ze uit en zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. Organisaties krijgen meer de verantwoordelijkheid om aan te tonen dat zij zich aan de wet houden.

 

PIA

Organisaties kunnen verplicht zijn een privacy impact assessment (PIA)uit te voeren om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Daarmee kunnen zij vervolgens maatregelen nemen om de risico's te verkleinen. Dit assessment is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert, zoals bij organisaties die systematisch en uitvoerig persoonlijke aspecten evalueren, op grote schaal bijzondere persoonsgegevens verwerken of op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

 

Tien stappen

De eerste stap is: zorgen voor bewustwording in de organisatie. Wat houden de nieuwe regels in? En wat betekenen deze regels voor menskracht en middelen? Daarna moeten organisaties ervoor zorgen dat mensen hun rechten kunnen uitoefenen, zoals het recht op inzage en verwijdering van hun gegevens. Ook zijn er nieuwe rechten, zoals het recht op dataportabiliteit: het recht om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie.

 

Verplicht register

Organisaties moeten er ook rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen. Verder adviseert de toezichthouder organisaties onder andere om in kaart te brengen welke persoonsgegevens zij verwerken, waar de gegevens vandaan komen en met wie de organisatie ze deelt. Onder de Avg moeten organisaties namelijk een register bijhouden om te kunnen aantonen dat ze in overeenstemming met de wet handelen.

 

Opmerkingen over PIA

De Europese privacytoezichthouders hebben criteria opgesteld wanneer een organisatie een PIA moet uitvoeren. Daarnaast komt er op termijn een lijst van verwerkingen waarvoor een PIA verplicht is. Tot 23 mei kunnen organisaties opmerkingen en suggesties over deze criteria sturen naar de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl.

 

Zie hier de tien stappen voor hulp bij de voorbereidingen op de nieuwe Europese privacywetgeving.

 

Zie hier voor meer informatie over de functionaris gegevensbescherming, dataportabiliteit en leidende autoriteit.

Lees meer over