Ben jij al klaar voor AVG?

Blogs
Abovo Media
Abovo Media
17 april 2018
Abovo Media - avg-200×230

Aanstaande 25 mei is de nieuwe Europese privacywet (GDPR genaamd) van kracht. In Nederland noemen we deze wet de AVG. Dit gaat een grote impact hebben voor onze sector maar zeker ook daarbuiten. De AVG versterkt de positie van de mensen waarvan op wat voor manier dan ook gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Bedrijven en organisaties die deze gegevens verwerken krijgen meer verplichtingen. De nadruk ligt vooral op de verantwoordelijkheid van deze bedrijven en organisaties om aan te tonen dat zij zich aan de wet houden. Omgekeerde bewijslast. Laat maar zien dat je je aan de wet houdt.

Wat moet je nu doen om klaar te zijn voor de AVG? Wij hebben dit samengevat in de 10 belangrijkste punten:

1: Bewustwording

Het is van belang dat alle verantwoordelijke personen in de organisatie op de hoogte zijn van de ontwikkelingen op het gebied van deze wetgeving. Op de website van de Autoriteit Persoonsgegevens zijn guide lines te downloaden die als handvat kunnen worden gebruikt.

2: Rechten van Betrokkenen

De personen, over en van wie er persoonlijke data wordt verwerkt, ook wel “betrokkenen” genoemd hebben het recht op inzage van deze gegevens en het recht op verwijdering van deze gegevens. Hiernaast heeft de betrokkene ook het recht op dataportabiliteit. Dit houdt in dat de betrokkenen hun data eenvoudig mogen inzien en ook mogen meenemen/ verschuiven naar een andere organisatie. Simpel gesteld houdt het in dat de betrokkene het recht krijgt om zijn of haar gegevens te ontvangen in bestandsvorm en deze mee kan nemen naar een andere leverancier (denk aan energie, verzekeringen, etc.). Je bent hierbij als organisatie verplicht die data te exporteren naar het systeem dat de andere organisatie gebruikt.

3: Verwerkingsoverzicht/register

Het is noodzakelijk om inzichtelijk te maken welke gegevens je als organisatie verwerkt. Met welk doel worden deze gegevens verwerkt, welke persoonsgegevens worden verwerkt, waar komen ze vandaan en met wie worden ze gedeeld. Er geldt met de nieuwe wetgeving een documentatieplicht waarmee voorgaande gegevens aantoonbaar gemaakt moeten worden. Dit “register” kan tevens worden aangesproken als personen hun gegevens willen opvragen/ inzien in het kader van recht op inzage (punt 2).

4: PIA (Privacy Impact Assessment)

Om de rechten en gegevens van personen te beschermen kan het voor bedrijven met een verhoogd risico verplicht worden een zogenaamde PIA uit te voeren. PIA is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen en om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties hoeven niet voor elke gegevensverwerking een PIA uit te voeren. Het is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • Op grote schaal bijzondere persoonsgegevens verwerkt;
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacy toezichthouders hebben criteria opgesteld om het eventuele risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is. Het is aan te raden om vrijwillig een PIA te doen en dit onderdeel van het proces te maken. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een PIA voordelen op.

5: Privacy by design & Privacy by default

Het wordt geadviseerd om Privacy by design & Privacy by default maatregelen te treffen. By design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat er niet meer dan noodzakelijke gegevens worden verzameld voor het doel van de verwerking. En dat de gegevens niet langer worden bewaard dan nodig. Privacy by default houdt in dat er technische- en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat er als standaard alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat moet worden bereikt. Bijvoorbeeld door:

  • Een app niet de locatie van gebruikers laat registreren als dat niet nodig is.
  • Op een website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aangevinkt te hebben.
  • Als iemand zich op een nieuwsbrief wil abonneren niet meer gegevens wordt gevraagd dan nodig is.

6: Functionaris gegevensbescherming

Onder de AVG kan het zo zijn dat organisaties verplicht zijn een functionaris gegevens bescherming (FG) aan te stellen die de verantwoording neemt voor de verwerking van de gegevens onder de AVG. Overheden en publieke instanties zijn het verplicht en het is verplicht een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld profiling) en voor partijen die op grote schaal bijzondere persoonsgegevens verwerken als bijvoorbeeld gegevens over iemands gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden.

7: Meldplicht Datalekken

De Meldplicht Datalekken blijft onder de AVG van kracht. Wel worden de eisen strenger. Zo moeten alle datalekken gedocumenteerd worden. De AP moet kunnen controleren of aan de meldplicht is voldaan. Dit gaat verder dan de bestaande protocolplicht. Die gaat alleen in op de gemelde datalekken.

8: Verwerkersovereenkomsten

Bij verwerking van persoonsgegevens door een derde partij dienen de verantwoordelijkheden te worden vastgelegd in een verwerkersovereenkomst. De Algemene Verordening Gegevensbescherming (AVG) noemt een aantal specifieke punten die opgenomen moeten worden in deze overeenkomst:

  • De doelen waarvoor de gegevens worden verwerkt.
  • Specificatie van de persoonsgegevens die verwerkt worden.
  • Indien er voor meerdere doelen wordt verwerkt, de categorieën van verwerkers die de gegevens zien.
  • De wijze van beveiliging van de gegevens.
  • Het uitvoeren van audits.
  • Het na afloop vernietigen of terug leveren van de gegevens aan de eigenaar van de data.
  • Elke handeling met betrekking tot persoonsgegevens dient tot een natuurlijk persoon herleidbaar te zijn.

9: Leidende toezichthouder

Indien een organisatie meerdere Europese vestigingen heeft, is het niet meer nodig om meldingen te plegen bij meerdere privacy toezichthouders. Er is nog maar een privacy toezichthouder van toepassing voor de organisatie. Dit wordt de leidende toezichthouder genoemd.

10: Toestemming

In de nieuwe wet gelden strengere eisen voor om persoonsgegevens te verwerken. Betrokkenen moeten toestemming kunnen geven om hun gegevens te verwerken. Het is daarom verstandig om de manier waarop u toestemming vraagt, krijgt en registreert te evalueren en aan te passen waar nodig. In de nieuwe wetgeving is het zo dat je moet kunnen aantonen dat er geldige toestemming is verkregen van de “betrokkene” en dat het voor hen net zo makkelijk moet zijn om deze toestemming in te trekken als te geven. Om een en ander te checken en de verdieping te zoeken heet de Autoriteit Persoonsgegevens (AP) samen met de Europese privacy toezichthouders richtlijnen/ guide lines gepubliceerd die alle 10 de punten verduidelijken.

 

Overige Blogs & Insights

Kennis
Abovo Media - Niels Bruinsma 2_1600
De kunst van Performance Marketing: veel meer dan een klik
Blog
Niels
Niels
Abovo Media - pexels-jack-sherman-20259785
Mediaontwikkelingen maart
Blog
Abovo Media
Abovo Media
Abovo Media - Evers_website_kopie
Het Evers-effect nader bekeken
Blog
Evert
Evert
Abovo Media - Effect van TV Commercials-1
Mediaontwikkelingen februari
Blog
Abovo Media
Abovo Media
Abovo Media - Creation first
Beat the algorithm, bet on creation
Blog
Daan
Daan
Abovo Media - https___www.abovomedia.nl_nieuws_lineaire-video-tv-bereik-blijft-afnemen-en-nu_
Een nieuw tijdperk in de Nederlandse mediawereld
Blog
Abovo Media
Abovo Media
Abovo Media - 3d-rendering-tech-nostalgia
De ‘gemene’ deler tussen tv, radio en de folder
Blog
Niels
Niels
Abovo Media - medium-shot-woman-sitting-alone-with-phone
Het geheime wapen van een successvolle campagne
Blog
Axinja
Axinja
Abovo Media - https-wwwabovomedianl-nieuws-mediaontwikkelingen-oktober-3-1
Mediaontwikkelingen
Blog
Abovo Media
Abovo Media
Nieuwsbrief
Ontvang het laatste nieuws uit de wereld van een dynamisch mediabureau.
We mailen je maximaal één keer per maand.

Kunnen wij je helpen?

ik wil graag