De AVG en RT, welke eisen worden gesteld aan jouw organisatie?

Geschreven op

In mijn vorige blog heb ik beschreven hoe je inzicht kunt krijgen in de manier waarop jij omgaat met persoonsgegevens en hoe dat je helpt om tegemoet te komen aan de rechten van betrokkenen. Naast dat het verplicht kan zijn om hiervoor een register van verwerkingsactiviteiten op te stellen, stelt de AVG in een aantal gevallen nog meer eisen aan jouw praktijk. In dit blog beschrijf ik 5 zaken die je mogelijk moet regelen of uitzoeken.

Voordat ik begin is hier nog even de inmiddels bekende disclaimer : ik ben geen jurist en wat ik schrijf is gebaseerd op wat ik zelf uitzoek voor Mijn Superkracht en mijn praktijk. Het is dus geen juridisch advies en voor jouw situatie kunnen andere zaken belangrijk zijn.

Data Protection Impact Assessment (DPIA)

Met een DPIA breng je voordat je begint met een project of dienst in kaart welke risico’s het verwerken van persoonsgegevens met zich mee brengt en wat je kunt doen om die risico’s te verkleinen.  Een DPIA is alleen verplicht als de verwerking van de gegevens grote risico’s oplevert, maar de AP adviseert om ook een DPIA uit te voeren als het niet verplicht is.
Meer informatie over een DPIA en een handreiking om er één uit te voeren vind je op de website van de beroepsorganisatie van IT-auditors (NOREA).

Privacy by design & Privacy by default

Belangrijke principes binnen de AVG zijn privacy by design en privacy by default.

Privacy by design betekent dat je er al bij het ontwerpen van je diensten en producten rekening houdt met de uitgangspunten van de AVG. Dus dat je persoonsgegevens goed beschermt, maar ook dat je alleen die gegevens verzamelt die je nodig hebt en dat je ze niet langer bewaart dan nodig.

Privacy by default betekent dat je, als standaard, niet meer gegevens verwerkt dan noodzakelijk is voor het doel waarvoor je ze verzamelt. Geef je bijvoorbeeld een e-book weg en moeten mensen een formulier invullen om het te kunnen downloaden, dan mag niet standaard een vinkje staan bij het vakje waarmee ze toestemming geven om hen de nieuwsbrief te sturen. Maar het betekent bijvoorbeeld ook dat je op je contactformulier niet meer gegevens (verplicht) in laat vullen dan jij nodig hebt om een reactie te geven.

Functionaris voor de Gegevensbescherming (FG)

In een aantal gevallen is het verplicht om een FG aan te stellen. Dit is degene die binnen een organisatie toezicht houdt op de toepassing en naleving van de AVG. Op de site van de AP kun je zien of dit voor jouw organisatie geldt.

Meldplicht Datalekken

In oktober 2017 hebben de Europese Privacytoezichthouders guidelines gepubliceerd over de meldplicht datalekken. Deze richtlijnen zijn op het moment van schrijven van dit stappenplan nog niet definitief vastgesteld en vertaald, vandaar dat ik hier nog niet kan verwijzen naar een Nederlandse vertaling. In dit document staat de volgende definitie van een datalek: “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed
Als organisatie moet je een registratie bijhouden van alle datalekken. In het geval van een ernstig datalek ben je ook verplicht dit direct te melden bij de AP en soms ook aan de betrokkenen.

Leidende toezichthouder

Werk je in verschillende landen binnen de EU of heb je meer vestigingen in de EU? Dan is het belangrijk om te bepalen wie voor jou de leidende toezichthouder is. Meer informatie hierover vind je op de site van de AP.

 

Na deze wat meer feitelijk regeldingetjes, die misschien wel helemaal niet van toepassing zijn, komt er nu nog een aantal zaken die dat vrijwel zeker wel zijn; verwerkersovereenkomsten, de manier waarop betrokkenen jou toestemming geven en de eisen die aan die toestemming gesteld worden, de beveiligingsmaatregelen en een overzicht van documenten die je nodig hebt om te voldoen aan de verantwoordingsplicht. Je begrijpt dat deze onderwerpen te breed zijn om te verwerken in 1 blog, dus ik heb ze weer opgesplitst. In het eerstvolgende blog vertel ik je eerst alles over de verwerkersovereenkomsten, omdat je de informatie daaruit nodig hebt voor de overige documenten.