Wees voorbereid op de nieuwe privacywetgeving (AVG)

Blog Jeroen Bergevoet, advocaat bij LEXIO

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. De AVG vervangt de huidige Wet bescherming persoonsgegevens (Wbp) en beoogt de data- en privacygegevens van EU-burgers verder te beschermen en hun rechten te versterken.

U dient hiermee rekening te houden in uw aanbestedingen en contracten met leveranciers. Ongetwijfeld heeft uw organisatie leveranciers die direct of indirect (bijv. via ICT-systemen) toegang (kunnen) krijgen tot persoonsgegevens. Denk aan personeels- of klantgegevens van uw organisatie. Het is van belang dat uw organisatie is voorbereid op de AVG en de inkoopcontracten met leveranciers op orde heeft.

Verwerkersovereenkomsten

Onder de huidige wetgeving was het al nodig om met uw leveranciers die persoonsgegevens bewerken bewerkersovereenkomsten te sluiten. Beoordeel of deze bewerkersovereenkomsten nog steeds toereikend zijn, en of deze voldoen aan de eisen die de AVG stelt aan verwerkersovereenkomsten (de AVG gebruikt de term ‘verwerker’ in plaats van ‘bewerker’). Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Het verdient aanbeveling in de contracten met is uw leveranciers op te nemen dat de privacy-wetgeving van toepassing is, en onder meer vastlegt hoe uw leverancier met uw data dient om te gaan, alsook de procedure die gevolgd moet worden als er een inbreuk (datalek) door de leverancier plaatsvindt op de AVG. Bij het opnemen van boete- en aansprakelijkheidsclausules ingeval de leverancier deze verplichtingen schendt, dient rekening te worden gehouden met het proportionaliteitsbeginsel en de uitwerking daarvan in de Gids Proportionaliteit.

Stappen voor uw organisatie ter voorbereiding

Naast op het gebied van inkoop en aanbesteding dient uw organisatie ook op andere vlakken zich voor te bereiden op de AVG. Om organisaties daarbij te helpen heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet1:

Stap 1 – Bewustwording

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels.

Stap 2: Rechten van betrokkenen

Zorg ervoor dat de mensen van wie uw organisatie persoonsgegevens verwerkt hun privacyrechten goed kunnen uitoefenen.

Stap 3: Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart.

Stap 4: Data protection impact assessment

Beoordeel of uw organisatie onder de AVG verplicht is om met behulp van een zogeheten data protection impact assessment (DPIA) vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, en neem vervolgens maatregelen aan de hand daarvan om de risico’s te verkleinen.

Stap 5: Privacy by design & privacy by default

Privacy by design houdt in dat uw organisatie al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat uw organisatie, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat uw organisatie wilt bereiken.

Stap 6: Functionaris voor de gegevensbescherming

Bepaal of uw organisatie onder de AVG verplicht is om een functionaris voor de gegevensverwerking (FG) aan te stellen.

Stap 7: Meldplicht datalekken 

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Uw organisatie moet alle datalekken documenteren.

Stap 8: Bewerkersovereenkomsten

Beoordeel of de overeengekomen maatregelen in bestaande contracten met uw leveranciers die persoonsgegevens bewerken nog steeds toereikend zijn, en of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Stap 9: Leidende toezichthouder

Indien de gegevensverwerkingen van uw organisatie in meerdere lidstaten impact hebben, bepaal dan onder welke privacytoezichthouder uw organisatie valt.

Stap 10: Toestemming

Voor sommige gegevensverwerkingen is toestemming nodig van de betrokkenen, en moet het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. Regel daarom op juiste wijze de manier waarop uw organisatie toestemming vraagt, krijgt en registreert.

1 Link: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf

Tags:
,
Geen reactie's

Sorry, het is niet mogelijk om te reageren.