Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywetgeving geldt voor alle organisaties die persoonsgegevens verwerken. De wet breidt de rechten van burgers uit en legt aan organisaties meer verplichtingen op dan de Wet bescherming persoonsgegevens, welke wet per 25 mei 2018 vervalt. Ook worden de boetes op niet-naleving van deze verplichtingen verhoogd. Hieronder staan enkele tips voor het voldoen aan de AVG. Zo weet u precies wat u nog moet doen voordat het zover is.
1. Inventariseren
Heeft u al nagedacht over de verwerkingsactiviteiten binnen uw organisatie? Probeer breed te denken: ook het verwerken van gegevens van bijvoorbeeld visitekaartjes van nieuwe relaties en het versturen van de maandelijkse nieuwsbrief zijn verwerkingen van persoonsgegevens en zijn enkel toegestaan als er een verwerkingsgrondslag voor is.
Tip: inventariseer en breng in kaart voor welke doelen gegevens worden verwerkt. Ga vervolgens per verwerkingsactiviteit na of hier een grondslag voor bestaat. Vervolgens kunt u aan de hand van dit overzicht starten met uw verwerkingsregister.
2. Verwerkersovereenkomsten sluiten
Als u in kaart heeft gebracht welke verwerkingen binnen uw organisatie plaatsvinden, wordt duidelijk ten aanzien van welke verwerkingsactiviteiten u aan te merken bent als verwerker dan wel verwerkingsverantwoordelijke. U kunt dan per activiteit nagaan of binnen deze activiteit een verwerkersovereenkomst gesloten dient te worden.
Vuistregel: wanneer u persoonsgegevens verwerkt ten behoeve van het doel van een ander, dan bent u verwerker. Dit is bijvoorbeeld het geval als u de salarisadministratie voor een organisatie voert. Bepaalt u zelf het doel en de middelen van de verwerking, dan bent u verantwoordelijke. Dit is het geval als u – als werkgever – de salarisadministratie uitbesteedt aan een externe partij. Maar ook als u voor het opslaan van uw data gebruik maakt van een crm-systeem. De systeembeheerder is dan verwerker van uw gegevens.
Heeft u nog geen verwerkersovereenkomst gesloten? Wacht niet af, maar ga erachteraan!
3. Maak uw personeel bewust
Naast het feit dat u zelf op de hoogte dient te zijn van de AVG, is het ook van belang dat uw personeel dat is. Uw personeel heeft immers ook te maken met persoonsgegevens en vertrouwelijke documenten. Zorg daarom voor een goed intern privacybeleid en breng dit onder de aandacht van uw personeel. In het intern privacybeleid kunnen alle privacygerelateerde zaken worden opgenomen, zoals hoe uw personeel om dient te gaan met persoonsgegevens, welke beveiligingsmaatregelen er getroffen zijn en welke privacyrechten uw werknemers hebben (bijvoorbeeld het recht op correctie van de persoonsgegevens). Zaken als cameratoezicht, track-and-tracesystemen en andere wijzen van controle van uw personeel dient u ofwel in het intern privacybeleid ofwel in het personeelsreglement op te nemen.
4. Maak uw website AVG-proof
Vrijwel iedere website verzamelt persoonsgegevens. Dit kan bijvoorbeeld door middel van functionele of analytische cookies, maar ook via een contactpagina waar bezoekers gegevens achter kunnen laten, of via de aanmeldknop voor het ontvangen van uw nieuwsbrieven. Daarom is een privacy- en cookieverklaring op uw website van groot belang. Met deze verklaring dient u – in begrijpelijke taal – uw websitebezoekers onder meer te informeren omtrent het doel van de verwerkingen via uw website. Daarnaast moeten de websitebezoekers via de privacyverklaring gewezen worden op hun rechten, bijvoorbeeld het recht op inzage. In het kader van inperking van eventuele aansprakelijkheden is het daarnaast aan te raden gebruikersvoorwaarden op uw website te plaatsen, vaak aangeduid als de ‘disclaimer’. In deze voorwaarden bepaalt u onder meer dat aan de informatie op uw website geen rechten kunnen worden ontleend.
5. Breng uw beveiligingsbeleid op orde
Wanneer een beveiligingsincident zich voordoet, moet u kunnen aantonen dat u er alles aan heeft gedaan om een dergelijk incident te voorkomen. Daarom dient u passende beveiligingsmaatregelen te treffen. Hierbij moet u denken aan zowel digitale als fysieke beveiliging. Zo raden wij u in elk geval aan een wachtwoordenbeleid op te stellen en uw website te voorzien van een SSL-certificering (gekenmerkt door https://). Zorg daarnaast voor een sterke firewall en virusscanner, schaf een vertrouwelijke papierbak aan (voor zover u dit nog niet heeft), hanteer een ‘clean desk policy’ en wees streng op post-its met wachtwoorden die aan het beeldscherm geplakt zitten. Indien u vertrouwelijke documenten per e-mail aan relaties toezendt, dient u na te gaan welke software hiervoor voldoende beveiligd is. Alle genomen maatregelen dient u in een beleid vast te leggen en onder uw personeel bekend te maken.
6. Voorkom datalekken en zorg voor een stappenplan voor het omgaan met datalekken
Iedere organisatie kan te maken krijgen met een datalek. Een datalek is simpel gezegd een inbreuk op de beveiliging van persoonsgegevens. Een datalek hoeft niet opzettelijk te zijn. Ook het per ongeluk versturen van een e-mail aan de verkeerde ontvanger kan een datalek opleveren. Zorg ervoor dat uw organisatie voldoende beveiligingsmaatregelen treft om datalekken te voorkomen. Voor het geval een datalek zich onverhoopt toch voordoet, is het raadzaam dat u een stappenplan heeft klaarliggen. Aan de hand van dit plan gaat u na of daadwerkelijk sprake is van een datalek en of het datalek vervolgens gemeld moet worden bij de Autoriteit Persoonsgegevens en/of betrokkene(n). Het is raadzaam bij het vermoeden van een datalek een deskundige in te schakelen en het stappenplan met die deskundige te doorlopen. Tot slot geldt dat u alle datalekken die zich in uw organisatie voordoen, moet documenteren in een zogenaamd datalekregister.
7. Ga na of een DPIA uitgevoerd moet worden
Onder de AVG geldt dat organisaties verplicht kunnen zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Een DPIA is in feite een instrument om vast te stellen welke privacyrisico’s er zijn, hoe groot de kans is dat deze risico’s werkelijkheid worden en welke maatregelen getroffen moeten worden om de geconstateerde risico’s te verkleinen. De verplichting om een DPIA uit te voeren, geldt voor iedere organisatie die gegevensverwerkingen uitvoert met een hoog risico voor betrokkenen.
Om te beoordelen wanneer sprake is van een hoog risico zijn vanuit de Europese toezichthouders negen criteria ontwikkeld. Indien aan twee of meer van deze criteria voldaan wordt, is waarschijnlijk sprake van een hoog risico en is een DPIA noodzakelijk. Zo zal een ziekenhuis waarin op grote schaal patiëntendossiers verwerkt worden, een DPIA moeten uitvoeren. De criteria die zijn opgesteld, vindt u hier.
Bij twijfel raden wij aan juridisch advies in te winnen over de vraag of een DPIA al dan niet vereist is.
8. Stel – voor zover nodig – een Functionaris Gegevensbescherming aan
De AVG schrijft voor dat in bepaalde gevallen een Functionaris Gegevensbescherming (FG) moet worden aangesteld binnen een organisatie. Deze FG houdt kort gezegd toezicht op de naleving van de AVG. Het aanstellen van een FG is verplicht:
(1) binnen overheidsinstanties en publieke organisaties;
(2) binnen organisaties waar de kernactiviteit het op grote schaal volgen van individuen betreft;
(3) binnen organisaties waar op grote schaal bijzondere persoonsgegevens worden verwerkt en dit een kernactiviteit is.
Een FG moet worden aangemeld bij de Autoriteit Persoonsgegevens. Van groot belang is dat de FG onafhankelijk moet zijn. Om diezelfde reden geniet de FG ontslagbescherming indien deze intern wordt benoemd. Het is overigens ook mogelijk een externe FG aan te stellen.
Bent u niet verplicht een FG aan te stellen, maar wilt u wel graag een persoon binnen uw organisatie aanwijzen die verantwoordelijk is voor privacygerelateerde zaken, denk dan goed na over hoe u dit vormgeeft. Als de betreffende persoon een andere functienaam, positie en takenpakket heeft dan een FG, gelden de wettelijke regels voor de FG niet. Het is dan wel van belang dat u zowel intern als extern duidelijk communiceert dat deze persoon geen FG is in de zin van de AVG.
Tot slot
Hebt u nog vragen met betrekking tot de AVG? Neem dan contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088- 88 40 840. Wij helpen u graag verder.
