De nieuwe Algemene Verordening Gegevensbescherming; hoe bereidt u uw organisatie voor?

[vc_row][vc_column width="1/1"][vc_column_text]In december 2015 hebben de lidstaten van de EU overeenstemming bereikt over de definitieve tekst van de Algemene Verordening Gegevensbescherming (AVG). De AVG zal de bestaande Europese privacyrichtlijn vervangen en een aantal nieuwe regels invoeren. Met de invoering van de verordening zal de privacywetgeving in de EU vrijwel volledig worden geharmoniseerd. Naar verwachting gaan de regels vanaf begin 2018 gelden. In Nederland zal door de nieuwe verordening een vrij beperkt aantal wijzigingen in de wet gaan gelden. Op een aantal van die wijzigingen zult u zich de komende twee jaar wel moeten voorbereiden. Voor zover we op dit moment kunnen beoordelen gaat het om in ieder geval de volgende onderwerpen:

1. U moet nagaan of u een Functionaris Gegevensbescherming (FG, beter bekend als de Data Protection Officer) moet aanstellen. Dat wordt in ieder geval verplicht voor organisaties die bij het uitvoeren van hun kernactiviteiten bijzondere persoonsgegevens (zoals gezondheidsgegevens) verwerken of die op grote schaal personen volgen. Het is nog niet duidelijk of in Nederland in meer gevalleen de aanstelling van een FG verplicht wordt.
2. U moet als u meer dan 250 medewerkers heeft (of als u gevoelige data verwerkt), een register aanleggen waarin u de verschillende verwerkingen binnen uw organisatie bijhoudt, inclusief het doel, grondslag en de genomen beveiligingsmaatregelen. Dit (interne) register vervangt de nu nog bestaande verplichting om verwerkingen te melden bij de toezichthouder.
3. U moet uw privacyverklaring controleren. Die moet veel meer en gedetailleerdere informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven.
4. U moet de overeenkomsten met uw hosting- en cloudproviders en andere leveranciers die uw persoonsgegvens verwerken, controleren. U moet in de bewerkersovereenkomsten met deze dienstverleners veel meer regelen dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.
5. U moet nagaan of het nodig is om intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA). Als u een nieuwe techniek gaat gebruiken voor het verwerken van persoonsgegevens of als u bepaalde gegevensbronnen gaat koppelen moet u eerst een onderzoek uitvoeren naar de privacy-effecten als er door de nieuwe verwerking een groot risico voor de privacy van personen kan ontstaan.

De verordening kent verder een aantal regels waardoor het toezicht binnen de EU minder versnipperd moet worden en de toezichthouders (nog) hogere boetes kunnen opleggen dan de Autoriteit Persoonsgegevens inmiddels kan; de maximale boete zal EUR 20.000.000 gaan bedragen of 4% van de wereldwijde jaaromzet. Er gaan verder nog nieuwe regels gelden die voor een geringer aantal organisaties van belang zijn dan de hiervoor genoemde wijzigingen (bijvoorbeeld het recht om vergeten te worden en verwerking van online verkregen data van kinderen). Wij kunnen u uiteraard verder helpen als u vragen heeft over de wijzigingen en de gevolgen voor uw organisatie. Neem hiervoor contact op met het team Privacy. Wilt u op de hoogte blijven van de laatste ontwikkelingen in het privacy-recht? Meld u dan aan voor de Privacy Nieuwsbrief.