Stappenplan van AP bereidt organisaties voor op AVG

De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar die organisaties helpt zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Bedrijven moeten vanaf 25 mei 2018 voldoen aan deze nieuwe Europese privacywetgeving. Overtreding van de wet kan worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG wordt in de gehele Europese Unie (EU) ingevoerd en vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet legt organisaties die persoonsgegevens verwerken meer verplichtingen op. De nadrukt ligt bij de AVG meer dan bij de Wbp op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij voldoen aan de wet. De AP adviseert organisaties tijdig van start te gaan met de implementatie van de regels.

Wanneer een PIA uitvoeren?

Het stappenplan is door de Autoriteit Persoonsgegevens in samenwerking met andere Europese privacytoezichthouders opgesteld om hierbij te helpen. Het stappenplan geeft meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Stap 1 bestaat uit het zorgen voor bewustwording binnen de organisatie. Hierbij staan vragen centraal als:

  • Wat houden de nieuwe regels in?
  • Wat betekenen deze regels voor menskracht en middelen?

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties zijn verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan bestaande rechten zoals het recht op inzage en verwijdering van gegevens, maar ook om nieuwe rechten zoals dataportabiliteit. Dataportabiliteit geeft gebruikers het recht persoonsgegevens te ontvangen die een organisatie over hen heeft verzameld zodat deze zelf kunnen worden opgeslagen of kunnen worden doorgegeven aan een andere organisatie.

Klachten indienen bij AP

Ook wijst de AP erop dat gebruikers bij de AP klachten kunnen indien over de wijze waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten in behandeling te nemen. De toezichthouder adviseert bedrijven in kaart te brengen welke persoonsgegevens zij verwerken, waar deze gegevens vandaan komen en met wie deze gegevens worden gedeeld. De AVG verplicht bedrijven een register bij te houden om  te kunnen aantonen dat zij in overeenstemming met de wet handelen.

Het uitvoeren van een PIA is in sommige gevallen verplicht. Een PIA is een instrument waarmee vooraf de privacyrisico’s van gegevensverwerking in kaart kunnen worden gebracht. Dit maakt het mogelijk maatregelen te nemen om de risico’s te verkleinen. Een PIA is verplicht indien gegevensverwerking ‘waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt’. Dit is in ieder geval het geval indien een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Feedback op richtlijnen

Om bedrijven meer duidelijkheid te geven over de PIA hebben de Europese privacytoezichthouders richtlijnen met criteria opgesteld om het privacyrisico te bepalen. Deze richtlijnen zijn opgesteld in samenwerking met stakeholder. Tot en met 23 mei 2017 is het mogelijk in het Engels feedback op deze richtlijnen te sturen naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr. Nederlandse organisaties kunnen ook opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of 070 – 8888 500. Op termijn wordt een lijst van verwerkingen waarvoor een PIA verplicht is beschikbaar gesteld.

Meer over
Lees ook
Bolletje kiest voor het veilige communicatieplatform van Zivver

Bolletje kiest voor het veilige communicatieplatform van Zivver

Zivver, leider op het gebied van veilige communicatie-oplossingen, maakt bekend dat Bolletje heeft gekozen voor Zivvers veilige communicatieplatform. Hierdoor kunnen alle 200 werknemers met een mailaccount op een veilige en gebruiksvriendelijke wijze privacygevoelige informatie delen.

Proofpoint introduceert een nieuw, intelligent compliance-platform

Proofpoint introduceert een nieuw, intelligent compliance-platform

Proofpoint, een toonaangevend bedrijf op het gebied van cybersecurity en compliance, lanceert zijn Intelligent Compliance Platform. Het platform biedt bedrijven beveiligingsmechanismen voor compliance en vereenvoudigt juridische kwesties. Het maakt ook gebruik van Proofpoint’s eigen machine learning engine om bedrijfsleiders te voorzien van AI-geb1

30% van de patiënten maakt zich zorgen over privacy e-healthdiensten

30% van de patiënten maakt zich zorgen over privacy e-healthdiensten

93 procent van de Europese medische organisaties heeft e-health-oplossingen geïmplementeerd, zoals monitoring op afstand via wearable devices en realtime communicatie met patiënten. Dit blijkt uit onderzoek van Kaspersky onder 389 zorgorganisaties uit 36 landen, waaronder 99 zorgverleners uit Europa en 10 in Nederland, naar het gebruik van e-healt1