Bereid u in 10 stappen voor op de nieuwe privacywet

Omcirkel 25 mei 2018 met rode stift in de agenda. Dan gaat de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe Europese privacywetgeving vervangt de Wet bescherming persoonsgegevens (Wbp) en kent strengere regels. Voor bedrijven is het belangrijk om nu al maatregelen te nemen en klaar te zijn voor de AVG. Volg deze tien stappen en voorkom fikse geldboetes: maximaal 20 miljoen euro of 4 procent van de omzet.

1. Bewustwording personeel
Het personeel moet bewust worden gemaakt dat ze met de nieuwe wet krijgt te maken. Zij kan vervolgens een goede inschatting maken van de tijd en goederen die nodig zijn.

2. Klant is nog meer koning
De klant wordt nog meer koning met deze wet. Hij krijgt steeds meer rechten. Denk hierbij bijvoorbeeld aan het recht op dataportabiliteit. Dit betekent dat klanten hun gegevens makkelijk inzichtelijk kunnen krijgen om deze vervolgens door te spelen aan andere bedrijven. Daarnaast wordt het recht op verwijdering uitgebreider. Als een klant een verzoek tot verwijdering indient, moet dit binnen een maand gebeurd zijn.

3. Documentatieoverzicht
Zorg voor een document waarin u in een oogopslag een overzicht hebt van alle verwerkte persoonsgegevens. Documenteer waar u de data vandaan hebt, met welk doel ze zijn bewaard en met wie ze zijn gedeeld. Noteer ook op basis van welke wettelijke grondslag u deze gegevens verwerkt.

4. Privacy Impact Assessment (PIA)
Het is verplicht om een Privacy Impact Assessment (PIA) te doen als u data verwerkt met een hoog privacyrisico. Dankzij de PIA weet u vooraf welke risico’s om de hoek komen kijken bij het verwerken van bepaalde persoonsgegevens.

5. Privacy by design & privacy by default
Dit zijn twee centrale principes binnen de AVG. Privacy by design betekent dat bij het ontwerpen van producten en diensten al rekening wordt gehouden met de waarborging van de privacy van klanten. Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden, waardoor alleen de hoognodige gegevens worden verzameld voor het specifieke doel.

6. Stel een functionaris gegevensbescherming aan
Als de kernactiviteit van uw bedrijf het verwerken van persoonsgegevens, moet u een functionaris voor de gegevensbescherming benoemen. Dit geldt ook voor overheidsinstanties en publieke organisaties.

7. Meldplicht datalekken?
Het fenomeen meldplicht datalekken is niet onbekend. De AVG schrijft voor om alle datalekken te documenteren op een wijze waarop de Autoriteit Persoonsgegevens kan controleren of u voldoende hebt gedaan aan het beschermen van de gegevens.

8. Bewerkersovereenkomsten
Is er een overeenkomst met een bewerker (verwerker in de AVG)? Controleer of de overeengekomen maatregelen om de privacy te waarborgen goed genoeg zijn voor de AVG.

9. Internationaal actief?
Bent u internationaal actief? Als u in meerdere landen in de EU gevestigd bent, valt u maar onder een toezichthouder. Bepaal tijdig onder welke u valt.

10. Toestemming
De AVG kent strengere regels als het gaat om de wijze waarop u toestemming vraagt, krijgt en registreert. De klanten moeten toestemming geven en deze ook weer gemakkelijk in kunnen trekken. Zorg dus dat u de juiste formulieren hebt, en pas ze aan!

Wilt u meer hierover weten? Neem dan vrijblijvend contact met ons op via 045 563 98 05 of info@zuidjuristen.nl.