Stappenplan van AP bereidt organisaties voor op AVG

De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar die organisaties helpt zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Bedrijven moeten vanaf 25 mei 2018 voldoen aan deze nieuwe Europese privacywetgeving. Overtreding van de wet kan worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG wordt in de gehele Europese Unie (EU) ingevoerd en vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet legt organisaties die persoonsgegevens verwerken meer verplichtingen op. De nadrukt ligt bij de AVG meer dan bij de Wbp op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij voldoen aan de wet. De AP adviseert organisaties tijdig van start te gaan met de implementatie van de regels.

Wanneer een PIA uitvoeren?

Het stappenplan is door de Autoriteit Persoonsgegevens in samenwerking met andere Europese privacytoezichthouders opgesteld om hierbij te helpen. Het stappenplan geeft meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Stap 1 bestaat uit het zorgen voor bewustwording binnen de organisatie. Hierbij staan vragen centraal als:

  • Wat houden de nieuwe regels in?
  • Wat betekenen deze regels voor menskracht en middelen?

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties zijn verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan bestaande rechten zoals het recht op inzage en verwijdering van gegevens, maar ook om nieuwe rechten zoals dataportabiliteit. Dataportabiliteit geeft gebruikers het recht persoonsgegevens te ontvangen die een organisatie over hen heeft verzameld zodat deze zelf kunnen worden opgeslagen of kunnen worden doorgegeven aan een andere organisatie.

Klachten indienen bij AP

Ook wijst de AP erop dat gebruikers bij de AP klachten kunnen indien over de wijze waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten in behandeling te nemen. De toezichthouder adviseert bedrijven in kaart te brengen welke persoonsgegevens zij verwerken, waar deze gegevens vandaan komen en met wie deze gegevens worden gedeeld. De AVG verplicht bedrijven een register bij te houden om  te kunnen aantonen dat zij in overeenstemming met de wet handelen.

Het uitvoeren van een PIA is in sommige gevallen verplicht. Een PIA is een instrument waarmee vooraf de privacyrisico’s van gegevensverwerking in kaart kunnen worden gebracht. Dit maakt het mogelijk maatregelen te nemen om de risico’s te verkleinen. Een PIA is verplicht indien gegevensverwerking ‘waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt’. Dit is in ieder geval het geval indien een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Feedback op richtlijnen

Om bedrijven meer duidelijkheid te geven over de PIA hebben de Europese privacytoezichthouders richtlijnen met criteria opgesteld om het privacyrisico te bepalen. Deze richtlijnen zijn opgesteld in samenwerking met stakeholder. Tot en met 23 mei 2017 is het mogelijk in het Engels feedback op deze richtlijnen te sturen naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr. Nederlandse organisaties kunnen ook opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of 070 – 8888 500. Op termijn wordt een lijst van verwerkingen waarvoor een PIA verplicht is beschikbaar gesteld.

Meer over
Lees ook
Acronis waarschuwt voor kritieke privacyrisico's in 2021

Acronis waarschuwt voor kritieke privacyrisico's in 2021

Acronis, wereldwijd leider op het gebied van cyberbescherming, waarschuwt vandaag dat uit eigen onderzoek naar recente trends in cyberaanvallen en bestaande bedrijfspraktijken is gebleken dat organisaties overal ter wereld momenteel te maken hebben met een bedreiging van de privacy en beveiliging van gegevens

‘Privacy brokkelt al jaren af’ WatchGuard voorspelt massale opstand

‘Privacy brokkelt al jaren af’ WatchGuard voorspelt massale opstand

Watchguard Technologies luidt de noodklok. Ondanks aangescherpte privacywetgeving en toegenomen aandacht voor het onderwerp brokkelt de privacy van gebruikers al jaren af.

NEN lanceert keurmerk op basis van internationale privacy norm ISO/IEC 27701

NEN lanceert keurmerk op basis van internationale privacy norm ISO/IEC 27701

Op 16 december 2020 lanceert NEN het keurmerk voor privacy informatie management. Dit keurmerk wordt afgegeven aan organisaties die voldoen aan de eisen uit de norm ISO/IEC 27701. De eisen voor onafhankelijke beoordeling door certificerende instellingen zijn vastgelegd in het certificatieschema NCS 27701