De AVG (algemene verordening gegevensbescherming) treedt in op 25 mei van dit jaar en vervangt daarmee de huidige Wet bescherming persoonsgegevens (Wbp). De AVG is Europese wetgeving en breidt de privacy rechten uit. Zo is er een vergaande documentatieplicht en uitbreiding van mogelijkheden die een betrokkene (om wiens gegevens het gaat) ter beschikking staan om controle te houden over verwerking van zijn of haar persoonsgegevens.
Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. Het is dus van belang dat organisaties tijdig aan de slag gaan met de implementatie van deze nieuwe wetgeving. De autoriteit persoonsgegevens heeft hiervoor een tienstappenplan opgesteld.
Tien stappen om te komen tot AVG
Stap 1: Bewustwording
Organisaties moeten ervoor zorgen dat relevante mensen in de organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
Stap 2: Rechten van betrokkenen
Onder de AVG krijgen betrokkenen (de mensen van wie persoonsgegevens worden verwerkt) meer en verbeterde privacy rechten. Organisaties moeten ervoor zorgen dat zij hun privacy rechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering.
Stap 3: Overzicht verwerkingen
Organisaties moeten gegevensverwerkingen in kaart brengen. Onder de AVG heeft een organisatie een verantwoordingsplicht, de organisatie moeten kunnen aantonen in overeenstemming met de AVG te handelen. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
Stap 4: Data protection impact assessment (DPIA)
Onder de AVG kan een organisatie verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Stap 5: Privacy by design & privacy by default
De organisatie moet vertrouwd worden met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default : Privacy by design houdt in dat een organisatie er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat als standaard, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie beoogt.
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen.
Stap 7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan eigen registratie van de datalekken die zich in de organisatie hebben voorgedaan. Alle datalekken moeten worden gedocumenteerd. Met deze documentatie moet de AP kunnen controleren of aan de meldplicht is voldaan.
Stap 8: Verwerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Stap 9: Leidende toezichthouder
Heeft de organisatie vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft er onder de AVG nog maar met één privacy toezichthouder zaken te worden gedaan. Dit wordt de leidende toezichthouder genoemd.
Stap 10: Toestemming
Gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Nieuw is dat organisaties moet kunnen aantonen dat de organisatie geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Rol OR bij invoering AVG
Bij stap 3 en 4 (DPIA en register) is het van belang dat de OR vroegtijdig betrokken wordt. De ondernemingsraad heeft immers bevoegdheden bij de invoering van nieuwe technologieën om persoonsgegevens te verwerken: artikel 27 lid 1 k (regeling verwerken en bescherming persoonsgegevens) dus ook bij het gehele privacy beleid en mogelijk artikel 27 1 l (regeling inzake voorzieningen die gericht zijn voor waarneming en controle).
Wat betreft het aanstellen van de functionaris gegevensbescherming (stap 6) zou de OR kunnen stellen dat deze ook alles te maken heeft met privacy beleid en dus minstens betrokken moet worden bij de keuze hiervan. Verder kan de OR aangeven dat bij de vernieuwde Arbowet instemmingsrecht geldt bij het aantellen van de preventiemedewerker en hier een vergelijking zou kunnen gelden.
Zorg er in ieder geval dat je als OR betrokken bent bij de wijzigingen die de AVG met zich meebrengt.