Op welke manier kan een organisatie de basisvragen rond privacy beantwoorden?
De Autoriteit Persoonsgegevens (AP) heeft tien aandachtspunten benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving.
- Bewustwording - Zorg ervoor dat werkgevers en werknemers bekend worden met de nieuwe privacyregels, zodat zij weten wat er van hen wordt verwacht;
- Rechten van betrokkenen - Houd alvast rekening met de extra privacy rechten die mensen krijgen door de nieuwe wetgeving, zodat u klaar bent wanneer men zich hierop beroept.
- Overzicht verwerkingen - Maak inzichtelijk hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang hebben tot die gegevens;
- Privacy impact assessment (PIA) - Maak een PIA, want volgens de AVG zijn bedrijven verplicht om vooraf de risico’s van gegevensverwerking in kaart te brengen;
- Privacy by design en privacy by default - Houd bij het ontwerpen van (nieuwe) producten en diensten rekening met de bescherming van privacygevoelige informatie. Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel;
- Functionaris voor de gegevensbescherming - Stel een functionaris aan die zich specifiek richt op de verwerking van (persoons)gegevens. De AVG kan organisaties verplichten om zo’n functionaris aan te stellen. Het is voor organisaties raadzaam om nu al te inventariseren of dat wenselijk is en om dan alvast te starten met een wervingsprocedure;
- Meldplicht datalekken - Herijk uw procedures voor het documenteren en melden van datalekken. Want in de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat de Autoriteit Persoonsgegevens dit kan controleren;
- verwerkersovereenkomsten - Zorg ervoor dat u een verwerkingsovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Heeft u al verwerkingsovereenkomsten dan is het verstandig om deze te controleren of ze nog voldoen aan de vereisten van de AVG;
- Bepaal de leidende toezichthouder - Als uw organisatie in meerdere EU-landen actief is, dan hoeft u maar met één privacy toezichthouder zaken te doen: de leidende toezichthouder;
- Toestemming - Evalueer de manier waarop u mensen toestemming vraagt voor het verwerken van hun persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. Want u moet later kunnen aantonen er geldige toestemming van mensen is gekregen.
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.