In tien stappen naar nieuwe privacywet
De Autoriteit Persoonsgegevens heeft een 10-stappenplan gepubliceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese privacyregelgeving. Vanaf 25 mei 2018 moeten organisaties voldoen aan deze nieuwe wet, de Algemene verordening gegevensbescherming (AVG). Overtredingen kunnen beboet worden met boetes oplopend tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
De AVG geldt voor de hele Europese Unie (EU) en vervangt in Nederland de huidige Wet bescherming persoonsgegevens (Wbp). De nieuwe verordening zorgt voor een versterking en uitbreiding van privacyrechten én zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt - meer dan nu- op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. De Autoriteit Persoonsgegevens adviseert op tijd te beginnen met de implementatie van de regels.
Stap 1 is volgens de Autoriteit Persoonsgegevens zorgen voor bewustwording in de organisatie. Wat houden de nieuwe regels in? En wat betekenen deze regels voor menskracht en middelen? Een volgende stap is de rechten van betrokkenen goed in kaart te brengen. Het gaat dan om bestaande rechten, zoals het recht op inzage en verwijdering van gegevens. Maar ook om nieuwe rechten, zoals het recht op dataportabiliteit; het recht om persoonsgegevens te ontvangen die een organisatie heeft, deze zelf op te slaan of door te geven aan een andere organisatie. Ook moeten organisaties er rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen.
Onder de AVG kunnen organisaties verplicht zijn een privacy impact assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dat is in ieder geval zo als een organisatie:
systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
op grote schaal bijzondere persoonsgegevens verwerkt;
op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Bron: Autoriteit Persoonsgegevens 13-04-2017