pijl

De impact van nieuwe Europese privacyverordening

De Wet Bescherming Persoonsgegevens wordt per 25 mei 2018 vervangen door de Algemene Verordening Gegevensbescherming (AVG).

De Wet Bescherming Persoonsgegevens (Wpb) wordt per 25 mei 2018 vervangen door een Europese privacyverordening, genaamd de Algemene Verordening Gegevensbescherming (AVG).

Het doel van de AVG is:

  • Uitbreiding van de privacyrechten
  • Organisaties die persoonsgegevens verzamelen en bewerken krijgen meer verantwoordelijkheid
  • Toezichthouders (in Nederland de Autoriteit Persoonsgegevens) krijgen betere mogelijkheden voor handhaving

Het is dus zaak om jouw organisatie en middelen goed onder de loep te nemen om ervoor te zorgen dat alles aan de nieuwe eisen voldoet. De website https://www.hulpbijprivacy.nl/ van de Autoriteit Persoonsgegevens geeft nuttige informatie en tools zoals het document AVG in een notendop (met links naar betreffende plek op de AP site), een AVG Regelhulp en het AVG-10 stappenplan waarmee je jouw organisatie kunt voorbereiden op de AVG. De laatste hebben we zo kort en begrijpelijk mogelijk proberen samen te vatten:

Stap 1: Bewustwording

Intern moeten de relevante mensen op de hoogte zijn van de nieuwe privacyregels. Men moet weten wat de implicaties kunnen zijn (bv. bij privacy verzoeken van betrokkenen) en er moeten maatregelen genomen worden zodat alle documenten en werkwijzes voldoen aan de aangescherpte/nieuwe regels. Verder is het voldoen aan de AVG iets wat een structureel onderdeel van de manier van werken moet worden, en niet iets wat je eenmalig regelt.

Stap 2: Rechten van betrokkenen

Er zijn verschillende privacyrechten gedefinieerd: het recht op dataportabiliteit, vergetelheid, inzage, rectificatie en aanvulling, recht op beperking van de verwerking, recht t.a.v. geautomatiseerde besluitvorming en profilering, recht om bezwaar te maken tegen de gegevensverwerking, recht op duidelijke informatie. Een organisatie moet bijvoorbeeld uiterlijk binnen een maand aan verzoeken van mensen t.a.v. hun privacyrechten kunnen voldoen. Een klant moet bijvoorbeeld binnen een maand van een inzageverzoek in een gangbaar formaat (bv. Excel) de informatie kunnen krijgen. Zorg dat de klantenservice weet wat en inzageverzoek is.

Stap 3: Overzicht verwerkingen

Alleen voor organisaties met meer dan 250 werknemers of bij risicovolle verwerkingen zoals het opstellen van klantprofielen of het verwerken van grote hoeveelheden gegevens is het nodig om gegevensverwerkingen in kaart te brengen. Documenteer welke persoonsgegevens er verwerkt worden, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Stap 4: Data protection impact assessment (DPIA) / Privacy Impact Assessment (PIA)

Uitvoeren van een DPIA is nodig als de gegevensverwerking een hoog privacyrisico opleverd. Bijvoorbeeld als je bezig bent met profiling, waarbij er op grote schaal bijzondere persoonsgegevens verwerkt worden.

Stap 5: Privacy by design & privacy by default

Producten en diensten moeten ‘privacy-proof’ ontwikkeld worden en ingesteld zijn. Een ontwerp moet bijvoorbeeld zo min mogelijk/alleen noodzakelijke persoonsgegevens verzamelen (toegankelijkheid en periode dat het bewaard wordt).

Stap 6: Functionaris voor de gegevensbescherming (FG)

Het is verplicht om een FG aan te stellen voor overheidsinstanties en publieke organisaties (bv. zorg of onderwijsinstellingen). Andere organisaties zijn ertoe verplicht als de kernactiviteiten bestaan uit het op grote schaal volgen van individuen of als er met bijzondere persoonsgegevens gewerkt wordt (gezondheid, ras, politieke opvattingen, geloofsovertuiging, strafrechtelijke verleden).

Stap 7: Meldplicht datalekken

Organisaties zijn verplicht om datalekken te registreren en te melden bij de AP. Als er een hoog risico is voor de betrokkenen, dienen die ook geïnformeerd te worden.

Stap 8: Verwerkersovereenkomsten

Als er gegevens gedeeld worden met derden, dient er met die partij(en) een verwerkersovereenkomst opgesteld te worden. Dit was al verplicht, echter nu zijn er specifieke punten opgenomen. Het komt erop neer dat je niet zonder toestemming van een gebruiker de persoonsgegevens aan derden mag verstrekken.

Stap 9: Leidende toezichthouder

Als je vestigingen in het buitenland hebt of er met persoonsgegevens van personen uit het buitenland gewerkt wordt, is de toezichthouder in het land van de hoofdvestiging leidend.

Stap 10: Toestemming

Naast het verkrijgen van toestemming van personen is het nodig om te kunnen aantonen dat er geldige toestemming van mensen verkregen is. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken.

 

Custom Website helpt graag om jouw organisatie te laten voldoen aan de AVG. Zo kunnen we helpen om de AVG wetgeving te leren begrijpen, te vertalen naar de situatie van jouw organisatie, en het implementeren van bepaalde online middelen voor jouw website of webshop. Denk bijvoorbeeld aan het plaatsen van een privacyverklaring of cookiemelding. Maar als je dat zelf al hebt gedaan of gaat doen, kunnen we ook alleen de nodige wijzigingen op de website of webshop doorvoeren.

Neem gerust contact met ons op om te kijken wat voor jou de beste manier is. 

Meer news items

06 jun

De nieuwe Google Analytics 4

Google Analytics 4 is er en gaat in juli 2023 de uit 2012 gedateerde Universal Analytics vervangen. Deze nieuwe versie heeft een sterke focus op gebruiksgemak en meer geautomatiseerde inzichten.

19 mrt

Thuiswerken? Hoe pakken wij dat aan

De meeste mensen hebben er in deze periode wel mee te maken, je moet thuis werken. En nu denk je waarschijnlijk wat nu? In deze blog zijn er enkele tips gegeven voor de mensen die thuis moet werken.

27 dec

Checklist als je een nieuwe website online gaat zetten

Stel, je hebt een nieuwe website laten maken. De website is af en je bent klaar om online te gaan. Wacht nog even en loop eerst onze checklist nog even langs om ervoor te zorgen dat je echt niets bent vergeten.

15 jan

Wetswijziging op komst voor webshops

Hij is al door de Tweede Kamer en ligt nu bij de Eerste Kamer, de vernieuwde Consumentenwet. Het is overigens niet een hele nieuwe wet, maar het gaat meer om aanpassingen in het Burgerlijk Wetboek in met name de regelgeving voor Koop op Afstand, dit naar aanleiding van een Europese Richtlijn. In juni 2014 moet de wet definitief zijn en moeten webwinkels een aantal zaken toch echt hebben aangepast.