Zijn uw klanten al AVG-proof?

1. 18 juni 2019
2. 0 reacties

(door Chubb, partner VVP) Vervoersbedrijf Uber ontving een boete van 600.000 euro vanwege het overtreden van de Europese privacywet GDPR, in Nederland bekend als de AVG. De reden? Het had een datalek “willens en wetens” te laat gemeld, aan zowel de AP als de betrokkenen. Ook MKB-ondernemers kunnen boetes krijgen, want de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), zal naar eigen zeggen ver gaan in de handhaving van de wet. Zijn uw klanten al AVG-proof? Als dat nog niet het geval is, kunt u ze helpen. Hieronder staan de tien belangrijkste aandachtspunten op een rij.

1. Creëer bewustwording

Het is belangrijk dat ‘sleutelfiguren’ binnen de organisatie begrijpen wat de nieuwe privacyregels inhouden en betekenen voor hun organisatie. Dit houdt ook in dat zij zich realiseren wat de gevolgen kunnen zijn als ze zich niet aan de wet houden. Bij schending van de privacyregels kunnen boetes worden opgelegd van maar liefs 20.000.000 euro of vier procent van de wereldwijde jaaromzet. Bovendien kunnen organisaties te maken krijgen met aansprakelijkstellingen, dwangmaatregelen, een verbod op het verwerken van persoonsgegevens, negatieve publiciteit én ontevreden klanten. Dus hoe sneller een organisatie aan de voorwaarden van de wet voldoet, hoe beter.

2. Richt processen in op meer rechten voor betrokkenen

De rechten van betrokkenen (personen van wie de persoonsgegevens worden verwerkt) zijn door de nieuwe wet aanzienlijk toegenomen. Daar moeten de processen van een onderneming op ingericht zijn. Ten eerste moeten betrokkenen zelf toestemming geven voor het verwerken van hun gegevens. Die toestemming is vrijwillig en intrekbaar. Het is belangrijk om gemakkelijke taal te gebruiken bij het vragen om toestemming. Daarnaast hebben betrokkenen onder andere recht op informatie, recht van inzage, recht op het wissen van hun gegevens en recht op bezwaar. Voor de verwerking van persoonsgegevens van kinderen jonger dan zestien is toestemming nodig van een ouder of voogd.

3. Let op de definitie van persoonsgegevens

De definitie van ‘persoonsgegevens’ is ruim: het gaat niet alleen om gegevens zoals naam en adres, maar om alle informatie die naar een ‘identificeerbare natuurlijke persoon’ kan leiden, dus ook gegevens zoals een IP-adres of een bankrekeningnummer. Ook het verwerken wordt ruim opgevat: niet alleen het opslaan, ook het anonimiseren en vernietigen wordt volgens de nieuwe AVG gezien als verwerken. Bovendien zijn er gegevens die organisaties niet mogen verwerken, zoals gegevens met betrekking tot iemands ras, politieke opvattingen, religie, genetische gegevens of seksuele geaardheid. Ook hier zijn uitzonderingen voor: bijvoorbeeld als daar toestemming voor is gegeven of als het van belang is voor de bescherming van de volksgezondheid.

4. Zorg voor een begrijpelijk privacy statement

Een privacy statement moet nog meer dan voorheen transparant en begrijpelijk zijn. Het moet aangeven met welk doel de gegevens worden verwerkt. Daarnaast zijn organisaties verplicht om te wijzen op het recht van wijzigen, verwijderen en inzien van gegevens.

5. Leg een register aan van alle persoonsgegevensverwerkingen

Bedrijven zijn verplicht een register aan te leggen van alle persoonsgegevensverwerkingen. Welke gegevens worden verwerkt, met welk doel, waar komen de gegevens vandaan, met wie worden ze gedeeld en hoe lang worden ze bewaard? Is de organisatie in kwestie verwerker of verantwoordelijke? Het is een behoorlijke klus om dit alles in beeld te krijgen. Er zijn veel tools voor ontwikkeld, maar het kan ook in een excel spreadsheet.

6. Controleer de contracten met verwerkers

Als er een partij in het spel is die de gegevens voor de organisatie verwerkt (een zogenaamde ‘verwerker’) is het belangrijk om te controleren of de contracten tussen de organisatie (‘de verantwoordelijke’) en deze verwerker aan de wet voldoen. Zo mag de verwerker bijvoorbeeld geen andere verwerker in dienst nemen zonder schriftelijke toestemming van de verantwoordelijke.

7. Maak een draaiboek voor datalekken

Bedrijven zijn verplicht om datalekken te melden. Maar waar moeten ze beginnen als het eenmaal zo ver is? Adviseer uw klanten een draaiboek voor datalekken te maken en daar een team voor samen te stellen. ‘Serieuze’ datalekken moeten binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens én de betrokkenen zelf. Met een draaiboek kan uw klant direct actie nemen en ervoor zorgen dat hij volgens de wet handelt.

8. Vraag advies van de Data Protection Officer (DPO)

Overheidsinstellingen, organisaties met meer dan 250 werknemers én organisaties die veel persoonsgegevens verwerken moeten een onafhankelijke DPO aanstellen – of inhuren: er zijn steeds meer organisaties en ZZP’ers die deze dienstverlening aanbieden. De DPO adviseert de organisatie over de bescherming van de persoonsgegevens en verwerkingsactiviteiten. Volgt de organisatie het advies niet op? Dan moet ook dit vastgelegd worden. Een DPO mag niet worden gestraft of ontslagen voor zijn advies of de uitvoering van zijn taken: hij (of zij) geniet dezelfde bescherming als leden van de ondernemingsraad.

9. Zorg dat de beveiliging in orde is

Beveiliging van persoonsgegevens is uiteraard essentieel, anders is de kans groot dat de gegevens binnen no time op straat komen te liggen. Dat kan met encryptie (het versleutelen van data), gedegen toegangsbeveiliging en continue monitoring.

10. Voer een Data Protection Impact Assessment uit (indien nodig)

Brengt de gegevensverwerking een hoog privacyrisico met zich mee? Dan is de organisatie verplicht een DPIA uit te voeren. Hiermee kan de organisatie risico’s in kaart brengen en vervolgens de juiste maatregelen nemen om die risico’s te verkleinen.

Wilt u meer weten? Een uitgebreide toelichting vindt u in het Factsheet Algemene Verordening Gegevensbescherming van Chubb en Cordemeyer & Slager Advocaten.

 

Partner van dit artikel

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• Partner VVP