Het komt nu echt dichtbij: op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (‘AVG’) in werking. Vanaf dat moment geldt één privacywetgeving voor de hele EU.

Het afgelopen halfjaar is de AVG hot news: je kunt geen krant openslaan of je oog valt op dreigende koppen als “Bedrijven in paniek over Europese privacywet” en “Als jouw bedrijf de zaken niet op orde heeft, ga je ten onder.”

Autoriteit Persoonsgegevens kondigt handhaving aan

In een recent interview laat Aleid Wolfsen, voorzitter van ‘privacywaakhond’ Autoriteit Persoonsgegevens (‘AP’), weten dat de AP op scherp staat om vanaf 25 mei te handhaven. Die handhaving kan bestaan uit het opleggen van boetes (maximaal € 20 miljoen of 4% van de wereldwijde jaaromzet) maar ook uit snelle interventies zoals een brief of telefoontje naar de overtreder. Van geval tot geval zal de AP het effectiefste handhavingsmiddel kiezen, aldus Wolfsen.

Kortom, de AVG heeft tanden en nationale toezichthouders zoals de AP hebben de nodige tools om bedrijven in de juiste richting te duwen.

Belangrijkste wijzigingen

De belangrijkste wijzigingen uit de AVG komen neer op versterking en uitbreiding van de rechten van personen van wie persoonsgegevens worden verwerkt enerzijds, en meer verantwoordelijken voor organisaties die persoonsgegevens verwerken anderzijds. Zo krijgen betrokkenen straks, naast recht op inzage en wijziging van persoonsgegevens, recht op verwijdering van opgeslagen persoonsgegevens. Organisaties moeten een register van verwerkingen van persoonsgegevens aanleggen én bijhouden. Daarnaast zullen veel organisaties een privacy officer moeten aanstellen die toezicht houdt op toepassing en naleving van de AVG. Ook wordt het uitvoeren van een zogenaamd Data Privacy Impact Assessment (DPIA) verplicht voor bepaalde verwerkingen, met als doel de privacy risico’s in kaart te brengen en maatregelen te nemen.

Veel organisaties zien inmiddels door de bomen het bos niet meer en weten niet waar ze moeten beginnen. Zoals wij tijdens ons seminar The Good, the Bad and the Smart over privacy in de HR-praktijk in september 2017 aangaven, bestaat geen reden tot paniek. Het leeuwendeel van de verplichtingen uit de AVG geldt immers ook nu al op grond van de Wet bescherming persoonsgegevens (‘Wbp’). Wel is het noodzaak kritisch te kijken naar de verwerking en beveiliging van persoonsgegevens binnen de organisatie en zo nodig maatregelen te nemen. Stilzitten is geen optie.

Maak een actieplan!

Organisaties die nog niet voldoen aan de AVG hebben nu nog de tijd in actie te komen. Wij adviseren de volgende stappen:

  1. Om organisaties te helpen in de aanloop naar 25 mei, heeft de AP de AVG-Regelhulp geïntroduceerd. Deze online helpt organisaties aan de hand van een stappenplan inzicht te krijgen in hun verplichtingen en de maatregelen die zij moeten nemen ter voorbereiding op de AVG. Een praktische en laagdrempelige stap om globaal in kaart te brengen waar je als organisatie staat. Aan de hand van de uitkomst kunnen organisaties beslissen externe hulp in te schakelen.
  2. Benoem een privacy officer voor de organisatie. Dat kan iemand binnen de organisatie zijn of een externe specialist.
  3. Stel een taskforce op binnen de organisatie en breng in kaart welke persoonsgegevens worden verwerkt, met welk doel dit gebeurt en met wie deze worden gedeeld. Voer voor risicovolle verwerkingen een DPIA uit en neem zo nodig maatregelen. Leg een register van verwerkingsactiviteiten aan met informatie over de verwerkingen van de organisatie.
  4. Implementeer een privacy protocol; omdat de AVG ingrijpt in de gehele organisatie, komen organisaties er niet mee weg alle verantwoordelijkheid bij één persoon, bijvoorbeeld de privacy officer, neer te leggen. Privacy moet in alle lagen van de organisatie op de agenda staan. Een goed hulpmiddel daarvoor is een privacy protocol. Zo’n protocol creëert bewustwording bij werknemers over het feit dat het thema privacy organisatiebreed wordt gedragen. Een goed protocol maakt duidelijk wat werkgever en werknemer van elkaar mogen verwachten qua verplichtingen en beschermingsmaatregelen op privacy gebied.
  5. Stel een goede model verwerkersovereenkomst op. Organisaties zijn verplicht een verwerkersovereenkomst, nu nog bewerkersovereenkomst genoemd, te sluiten wanneer zij andere organisaties opdrachten verstrekken waarbij persoonsgegevens worden verwerkt. Te denken valt aan het inschakelen van een externe salarisadministrateur of arbodienst. De opdrachtgever blijft zelf verantwoordelijk voor de verwerking van de persoonsgegevens door de externe partij. In de verwerkersovereenkomst dienen tenminste het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, alsmede de rechten en verplichtingen van de verwerkingsverantwoordelijke te worden omschreven. Door het hanteren van een goede verwerkersovereenkomst toegespitst op de specifieke werkzaamheden waarvoor de externe organisatie is ingeschakeld, kunnen organisaties voorkomen dat zij – via hun leveranciers – de AVG overtreden.

Met behulp van bovenstaande stappen zorgt u ervoor dat u AVG-proof bent op 25 mei.