Algemene Verordening Gegevensbescherming (AVG), ook voor mij?

Op 25 mei 2018 gaat de General Data Protection Regulation GDPR (ook wel Algemene Verordening Gegevensbescherming, AVG) in. De manier waarop bedrijven persoonsgegevens verzamelen, beheren en gebruiken gaat veranderen. Zo wordt de positie van burgers versterkt en worden er aan bedrijven strenge(re) eisen gesteld aan de IT-security en verwacht dat er beleid en procedures worden gemaakt en opgevolgd.

Door: Lotte van Lith

 

De AVG heeft organisatorisch en technisch nogal wat consequenties.

Positief bezien is dit een mooie gelegenheid om een frisse wind te laten waaien en kritisch te kijken naar de IT-security, processen en data binnen de organisatie.

En dan heb ik het niet per se over grote organisaties. De AVG is van toepassing op alle organisaties waarvoor het op grote schaal verwerken van persoonsgegevens door middel van regelmatige en stelselmatige observatie van individuen noodzakelijk is voor het uitoefenen van de hoofdactiviteit van de organisatie. Ook indien een organisatie hoofdzakelijk belast is met de verwerking van bijzondere persoonsgegevens op grote schaal of indien sprake is van een overheidsorgaan of overheidsinstantie is de AVG van toepassing.

Nou is het nog niet geheel duidelijk wanneer sprake is van ‘op grote schaal’. Wel is bekend dat het afhankelijk is van het aantal, het volume, de duur en de geografische omvang van de verwerking (Artikel 29-werkgroep).

Uit één van de overwegingen bij de AVG blijkt dat onder ‘regelmatige en stelselmatige observatie’ in ieder geval alle vormen van gegevensverwerking waarin een consument online wordt gevolgd en/of waarbij een profiel van online gedrag wordt gemaakt er onder valt.

Er zijn drie redenen om niet te snel te concluderen dat de organisatie niet onder AVG valt. Ten eerste omdat begrippen nog niet geheel duidelijk zijn, zoals hierboven beschreven ‘op grote schaal’. Ten tweede omdat het voldoen aan de richtlijnen van de AVG, zeker in combinatie met een kritische blik naar overige data, kan leiden tot een concurrentievoordeel en tot slot het verbeteren van de reputatie – hoe betrouwbaar kom de organisatie momenteel over bij de consument?

Met nog een half jaar te gaan is het de hoogste tijd om stappen te gaan ondernemen.

Welke stappen moeten in ieder geval gezet worden?

1. Breng in kaart welke persoonsgegevens er bewaard worden, waar deze worden opgeslagen, door wie, wat het doel is van het opslaan van die gegevens en per categorie van gegevens op basis van welke wettelijke grondslag de gegevens verwerkt worden. Als de gegevens worden gedeeld met een andere organisatie moet dat gedocumenteerd worden (welke gegevens).

2. Documenteer hoe lang de persoonlijke gegevens bewaard worden en hoe tot die termijn is gekomen.

3. Zorg dat er procedures rond datalekken zijn en dat datalekken ook inderdaad opgespoord kunnen worden. Een datalek dient altijd gedocumenteerd te worden. Alleen in het geval dat er een aannemelijk risico is voor schade moet een datalek gemeld worden bij de Autoriteit Persoonsgegevens.

4. Update de informatieverstrekking. Deze moet in begrijpelijke taal zijn opgesteld en de betrokkene informeren over hoe de organisatie gegevens verzameld, verwerkt, bewaard en deelt met derden. Ook moet de betrokkene worden gewezen op de rechten die hij/zij heeft. Zoals het recht op inzage en het recht op correctie en verwijdering.
Let op: de toestemming die een individu geeft voor de verwerking van zijn/haar persoonlijke gegevens moet geregistreerd worden. Ook moet het net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

5. Zorg dat tijdig en op de juiste manier kan worden gereageerd op verzoeken van degenen van wie persoonlijke gegevens worden verzameld.

6. Implementeer de uitganspunten van Privacy by Design en Privacy by Default.

7. Documenteer en implementeer technische en organisatorische procedures die aantonen dat bekend is wanneer een Data Protection Impact Assessment uitgevoerd moet worden.

8. Heeft uw organisatie ook vestigingen in andere EU lidstaten? Dan dient te worden bepaald onder welke leidende toezichthouder de organisatie valt.

Hulp nodig? Neem dan contact op met DBHeroes om de mogelijkheden te bespreken.