Op 25 mei 2018 moeten alle organisaties voldoen aan de Algemene verordening gegevensbescherming oftewel AVG. Bent u er al klaar voor? Bekijk de checklist met de tien belangrijkste stappen naar de nieuwe privacywetgeving.
De Algemene verordening gegevensbescherming gaat in op 25 mei 2018 en geldt voor de hele Europese Unie. Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe wet versterkt privacyrechten van mensen en breidt die uit. De AVG zorgt ook voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt meer dan nu op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
> LEES OOK: Wat verandert er met de AVG, en wat zegt de Autoriteit Persoonsgegevens over de AVG?
Checklist met 10 belangrijkste stappen naar privacywetgeving
De AP heeft samen met de andere Europese privacytoezichthouders richtlijnen opgesteld. Die geven meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. De AP adviseert organisaties om daarvoor tien stappen te doorlopen. Dit zijn ze:
- Bewustwording – Wat houden de nieuwe regels in en wat betekenen deze regels voor menskracht en middelen?
- Rechten van betrokkenen – Borg bestaande rechten (inzage en verwijdering van gegevens) en ook nieuwe rechten, zoals het recht op data-portabiliteit.
- Overzicht verwerkingen – Breng uw gegevensbewerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt, met welk doel u dit doet en met wie u ze deelt.
- Data protection impact assessment (DPIA) of Privacy impact assessment (PIA) – Check de guidelines van de Europese privacytoezichthouders, schat in of u straks (D)PIA’s moet uitvoeren en bepaal uw aanpak.
- Privacy by design & privacy by default – Check de onder de AVG verplichte uitgangspunten van privacy by design & privacy by default. Vertaal die beginselen naar uw organisatie.
- Functionaris voor de gegevensbescherming (FG) – Bepaal of uw organisatie onder de AVG verplicht is om een FG aan te stellen.
- Meldplicht datalekken – De AVG stelt strengere eisen aan uw eigen registratie van datalekken.
- Verwerkersovereenkomsten – Heeft u uw gegevensverwerking uitbesteed? Beoordeel of de contracten voldoen aan de eisen die de AVG aan de verwerkersovereenkomsten stelt.
- Leidende toezichthouder – Is uw organisatie gevestigd in diverse EU-lidstaten? Of heeft uw gegevensverwerking impact op meer EU-lidstaten? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder te communiceren.
- Toestemming – De AVG stelt strengere eisen aan toestemming. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert. Wijzig die als dat nodig is.
Oude wijn in nieuwe zakken?
Als we de media moeten geloven is AVG de afkorting voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens, presenteert de AVG als Aandacht Voor Gegevensbescherming. Is hier sprake van oude wijn in nieuwe zakken? Felix Olijslager vertelt u dat tijdens het Asis Security Management Congres 2018 op 21 juni.
> LEES OOK: Wat betekent de AVG voor de security manager?