Stappenplan van AP bereidt organisaties voor op AVG

De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar die organisaties helpt zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Bedrijven moeten vanaf 25 mei 2018 voldoen aan deze nieuwe Europese privacywetgeving. Overtreding van de wet kan worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG wordt in de gehele Europese Unie (EU) ingevoerd en vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet legt organisaties die persoonsgegevens verwerken meer verplichtingen op. De nadrukt ligt bij de AVG meer dan bij de Wbp op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij voldoen aan de wet. De AP adviseert organisaties tijdig van start te gaan met de implementatie van de regels.

Wanneer een PIA uitvoeren?

Het stappenplan is door de Autoriteit Persoonsgegevens in samenwerking met andere Europese privacytoezichthouders opgesteld om hierbij te helpen. Het stappenplan geeft meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Stap 1 bestaat uit het zorgen voor bewustwording binnen de organisatie. Hierbij staan vragen centraal als:

  • Wat houden de nieuwe regels in?
  • Wat betekenen deze regels voor menskracht en middelen?

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties zijn verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan bestaande rechten zoals het recht op inzage en verwijdering van gegevens, maar ook om nieuwe rechten zoals dataportabiliteit. Dataportabiliteit geeft gebruikers het recht persoonsgegevens te ontvangen die een organisatie over hen heeft verzameld zodat deze zelf kunnen worden opgeslagen of kunnen worden doorgegeven aan een andere organisatie.

Klachten indienen bij AP

Ook wijst de AP erop dat gebruikers bij de AP klachten kunnen indien over de wijze waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten in behandeling te nemen. De toezichthouder adviseert bedrijven in kaart te brengen welke persoonsgegevens zij verwerken, waar deze gegevens vandaan komen en met wie deze gegevens worden gedeeld. De AVG verplicht bedrijven een register bij te houden om  te kunnen aantonen dat zij in overeenstemming met de wet handelen.

Het uitvoeren van een PIA is in sommige gevallen verplicht. Een PIA is een instrument waarmee vooraf de privacyrisico’s van gegevensverwerking in kaart kunnen worden gebracht. Dit maakt het mogelijk maatregelen te nemen om de risico’s te verkleinen. Een PIA is verplicht indien gegevensverwerking ‘waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt’. Dit is in ieder geval het geval indien een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Feedback op richtlijnen

Om bedrijven meer duidelijkheid te geven over de PIA hebben de Europese privacytoezichthouders richtlijnen met criteria opgesteld om het privacyrisico te bepalen. Deze richtlijnen zijn opgesteld in samenwerking met stakeholder. Tot en met 23 mei 2017 is het mogelijk in het Engels feedback op deze richtlijnen te sturen naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr. Nederlandse organisaties kunnen ook opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of 070 – 8888 500. Op termijn wordt een lijst van verwerkingen waarvoor een PIA verplicht is beschikbaar gesteld.

Meer over
Lees ook
Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Proofpoint breidt archiverings- en compliancediensten uit

Proofpoint breidt archiverings- en compliancediensten uit

Proofpoint, Inc., maakt vandaag bekend dat zijn Digital Communications Governance (DCG) aanbod algemeen beschikbaar is. Het bedrijf versterkt hiermee het bestaande aanbod wat in lijn is met de ontwikkelingen op het gebied van data governance en enterprise archivering. Het nieuwe aanbod maakt het managen van communicatiedata eenvoudiger

Het dynamische duo: waarom de CIO en CISO van moderne ondernemingen moeten samenwerken

Het dynamische duo: waarom de CIO en CISO van moderne ondernemingen moeten samenwerken

Organisaties die een succesvolle strategie voor cybersecurity of databescherming willen, hebben daarvoor gedegen processen voor interne communicatie en samenwerking nodig. Met name de dynamiek tussen de CIO en CISO kan van invloed zijn op de besluitvorming voor de korte en lange termijn.