Let op: nieuwe privacyregels gegevensverwerkende organisaties

Nieuwsbericht 14-12-2017

In 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Om bedrijven en organisaties die gegevens verwerken en/of bewerken de gelegenheid te geven zich op de nieuwe regels voor te bereiden, zal de AVG pas op 25 mei 2018 echt van toepassing zijn. Graag informeren wij u over de belangrijkste aandachtspunten.

Allereerst moet u weten dat de AVG van toepassing is op elke organisatie die persoonsgegevens registreert, verwerkt en dergelijke. Of u een organisatie bent zonder winstoogmerk, maakt geen verschil.

Rechten uitgebreid

De rechten van betrokkenen, dat wil zeggen degene van wie de gegevens worden verwerkt, zijn uitgebreid:

• recht op inzage (bestaand);
• recht op correctie en verwijdering (bestaand), uitgebreid met recht op vergetelheid;
• recht op dataportabiliteit (nieuw); betekent overdraagbaarheid van persoonsgegevens;
• recht op indienen van klacht (uitgebreid).

 

Documentatieplicht

Onder de AVG heeft u een documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Elke organisatie moet bijhouden welke persoonsgegevens worden verwerkt, op welke grond, met welk doel enzovoort. Documenteer daarom goed welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

 

Aandachtspunten

Elke organisatie dient verder aandacht te hebben voor de volgende punten:

• Bewustwording binnen eigen organisatie (en ook dat registreren).
• Privacy Impact Assessment (PIA) / Data Protection Impact Assessment (DPIA). Dit is een instrument om vooraf privacyrisico’s van gegevensverwerking in kaart te brengen, zodat men maatregelen kan nemen om die risico’s te verkleinen. Alleen verplicht bij een hoog privacyrisico.
• Privacy by design & privacy by default.
  Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
• Datalekken melden bij de Autoriteit Persoonsgegevens. Dit geldt niet alleen als er een computer gehackt wordt, maar ook als iemand een USB-stick met persoonsgegevens verloren is.
• Bewerkersovereenkomsten. Met elke derde partij waarmee een organisatie samenwerkt en die toegang heeft tot de persoonsgegevens, moet zo’n overeenkomst afgesloten worden.
• Strengere eisen aan toestemming. Van belang is dat goed geregistreerd wordt hoe de toestemming is verkregen. Tevens moet het intrekken van de toestemming net zo gemakkelijk zijn als het geven ervan.

 

10-stappenplan

De Autoriteit Persoonsgegevens heeft op haar website een handig 10-stappenplan. De Raad van Beheer is zelf ook druk doende met deze punten. Het besluit van de AV van 5 september jl. om het IT-landschap aan te passen, is een mooie kapstok om alle procedures tegen het AVG-licht te houden.

 

Wij gaan er vanuit dat de verwerking van persoonsgegevens bij de aangesloten verenigingen minder complex is dan bij de Raad van Beheer zelf. Voor de meeste informatie zult u daarom voldoende hebben wat staat op de website van de Autoriteit Persoonsgegevens.