Crowe Horwath Peak neemt MKB’ers mee in de wereld van de AVG

De nieuwe Algemene Verordening Gegevensbescherming (AVG) treedt in mei 2018 in werking. Deze nieuwe Europese privacywet heeft impact op veel organisaties, die tijdig van start zullen moeten gaan met de implementatie van de AVG. Geert-Jan Krol, IT-advisor bij Crowe Horwath Peak, heeft bezoekers van de Seminar IT Privacy & Security daarom op 20 april meegenomen in de wereld van de AVG.

Tijdens het seminar stonden een viertal vragen centraal:

• Wat verstaan we precies onder privacy?
• Wat houdt de Algemene Verordening Gegevensbescherming (AVG) in?
• Wat zijn de consequenties bij internationaal zakendoen?
• Hoe bereidt u zich voor?

Iedere organisaties krijgt te maken met de nieuwe privacyregelgeving. De impact hiervan hangt af van welke soort, in welke hoeveelheid en op welke wijze persoonsgegevens worden verwerkt, beheert en al dan niet opgeslagen. Wie niet voldoet aan de eisen van de AVG, kan forse boetes opgelegd krijgen indien een datalek voorkomt. Het opstellen van een intern privacybeleid, het uitvoeren van Privacy Impact Assessments en het verbeteren van IT-beveiliging is een goed begin om met de AVG aan de slag te gaan.

Privacyrechten van gebruikers

De privacyrechten van gebruikers worden door de AVG uitgebreid en verbeterd. Een aantal bestaande rechten blijven behouden, waaronder:

• Het recht op inzage: een betrokkene mag een organisatie vragen of persoonsgegevens van hem of haar zijn verwerkt. Het is hierbij niet nodig een reden voor het inzageverzoek te geven.
• Het recht op correctie en verwijdering: een betrokkene mag een organisatie vragen om persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen.

Daarnaast wordt het recht op dataportabiliteit geïntroduceerd in de AVG. Dit geeft betrokkene het recht een organisaties te vragen om de gegevens te ontvangen die de organisatie over hem of haar heeft verzameld. Deze data kan vervolgens door de betrokkene zelf worden opgeslagen voor persoonlijk (her)gebruik en worden doorgegeven aan een andere organisatie. Bedrijven mogen de betrokkene hierbij niet tegenwerken.

Verplichtingen voor organisaties

Daarnaast brengt de AVG nieuwe verplichtingen met zich mee. Zo worden organisaties verplicht te documenteren welke persoonsgegevens worden vastgelegd. Hierbij moet uiteen worden gezet:

• met welk doel gegevens worden verzameld;
• wat de herkomst is van gegevens;
• aan wie de gegevens worden verstrekt;
• hoe de persoonsgegevens zijn gecategoriseerd;
• op welke wijze de gegevens zijn beveiligd en wat het beoogde bewaartermijn is;
• wat de wettelijke grondslag is voor de verwerking van persoonsgegevens.

Daarnaast zijn organisaties verplicht aan te tonen dat zij handelen in overeenstemming met de AVG. Ook zijn zowel de verantwoordelijke voor persoonsgegevens als de verwerker hiervan verplicht een verwerkingregister bij te houden, waarin alle verwerkingen worden vastgelegd. De AVG maakt hierbij een uitzondering voor organisaties met minder dan 250 medewerkers. Zij hoeven dit register niet bij te houden, tenzij zij stelselmatig (bijzondere) persoonsgegevens verwerken of de verwerking een risico vormt voor betrokkenen.

Privacy Impact Assessment

In sommige gevallen kan de verwerking van persoonsgegevens een hoog risico voor betrokkenen met zich meebrengen. Dit is het geval indien een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• mensen in een publiek toegankelijk gebied op grote schaal en systematisch volgt, bijvoorbeeld met behulp van cameratoezicht.

Indien gegevensverwerking een hoog risico oplevert voor betrokkenen, dienen bedrijven een Privacy Impact Assessment uit te voeren. Dit is een instrument waarmee vooraf aan een beoogde gegevensverwerking risico’s in kaart kunnen worden gebracht. Hierdoor kunnen preventief maatregelen worden genomen om deze risico’s te verkleinen. Indien uit de PIA blijkt dat een beoogde verwerking een hoog risico oplevert en risicobeperkende maatregelen niet kunnen worden doorgevoerd, is het noodzakelijk te overleggen met de Autoriteit Persoonsgegevens (AP) voordat de verwerking van start gaat. In dit geval beoordeelt de AP of de beoogde verwerking van persoonsgegevens in strijd is met de AVG.

Meer informatie

Wilt u meer informatie over de impact die de AVG op uw organisatie heeft en de wijze waarop u zich kunt voorbereiden op de invoering van deze Europese regelgeving? Kijk dan op de website van Crowe Horwath Peak.