Vaste contactpersoon
Gratis kennisevents
24/7 toegang tot software
Gratis opleidingen
Specialisten in huis

AVG: de nieuwe privacywet. Bent u al privacy proof?

Gepubliceerd door: Tim Staps Content Marketeer
Geplaatst op 17 april 2018
Leestijd

Vanaf 25 mei 2018 geldt in de hele Europese Unie de ‘General Data Protection Regulation’ oftewel Algemene Verordening Persoonsgegevens (AVG). Deze nieuwe privacywet heeft als doel gegevens van individuen adequaat te verkrijgen, op te slaan, te gebruiken, beheren en bewaren. Weet u wat er verandert en welke maatregelen u moet treffen? P.zine zet de belangrijkste punten voor u op een rij.

STRIKT NOODZAKELIJK
De AVG versterkt de positie van betrokkenen bij het verwerken van hun persoonlijke gegevens. Denk hierbij aan zakelijke e-mailadressen, kopieën van legitimatiebewijzen, bank- en contactgegevens van klanten, medewerkers en uitzendkrachten. Uitgangspunt van de AVG is dat persoonsgegevens alleen nog mogen worden verwerkt als dit strikt noodzakelijk is. En, er geldt een omgekeerde bewijslast: organisaties moeten op verzoek kunnen aantonen dat zij zich aan de wet houden. De boetes voor onrechtmatig verwerken van persoonsgegevens zijn hoog, tot wel 20 miljoen euro of 4 procent van de wereldwijde omzet. Belangrijk dus om tijdig de juiste maatregelen te nemen.

WAT VERANDERT ER?
In grote lijnen is de AVG hetzelfde als haar voorganger de Wet bescherming persoonsgegevens (Wbp). Uiteindelijk mag een werkgever ook nu niet méér gegevens verzamelen dan nodig en moeten gegevens worden verwijderd zodra dit kan en mag. Opvallende veranderingen zijn onder meer de aanstelling van een functionaris gegevensbescherming (FG) en dataportabiliteit. Dit is het recht van betrokkenen om gegevens makkelijk op te vragen en door te geven aan andere organisaties. Opvallend zijn ook de privacyverhogende maatregelen die moeten worden getroffen bij de ontwikkeling van nieuwe diensten en producten én bij het gebruik van bestaande producten en diensten. Ook moet bij de verwerking van persoonsgegevens met een hoog privacyrisico een Data
Protection Impact Assessment (DPIA) worden gemaakt en moeten alle gegevensverwerkingen worden bijgehouden in een register. Kortom, veranderingen die extra inspanning vragen van u als intermediair.

AAN DE SLAG
Werkgevers moeten dus zelf in actie komen. Maar waar te beginnen? Toezichthouder Autoriteit Persoonsgegevens (AP) heeft een stappenplan beschikbaar gesteld voor werkgevers: ‘In 10 stappen privacy proof ’.

STAP 1 BEWUSTWORDING
Zorg dat de juiste mensen in de organisatie op de hoogte zijn van de nieuwe privacyregels. Bekijk samen wat de impact van de AVG is op de huidige processen. De AP heeft hier verschillende instrumenten voor.

STAP 2 RECHTEN VAN BETROKKENEN
Betrokkenen hebben onder de AVG meer rechten en kunnen daarop aanspraak maken. Zorg dat verzoeken tijdig en op de juiste manier worden behandeld om boetes te voorkomen.

STAP 3 OVERZICHT VERWERKINGEN
Breng de gegevensverwerking in kaart: leg vast welke gegevens worden vastgelegd enmet welk doel, waar deze gegevens vandaan komen en met wie ze worden gedeeld.

STAP 4 DATA PROTECTION IMPACT ASSESSMENT
Voor sommige gegevens geldt een Data Protection Impact Assessment: dit is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en maatregelen te kunnen nemen om de risico’s te verkleinen. Schat op voorhand in voor welke gegevens deze voorafgaande raadpleging geldt.

STAP 5 PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Zorg dat bij het ontwerpen van nieuwe diensten en producten rekening wordt gehouden met de juiste bescherming van persoonsgegevens. En neem maatregelen zodat bij bestaande producten en diensten standaard alleen noodzakelijke persoonsgegevens worden verwerkt.

STAP 6 FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
Sommige organisaties zijn verplicht een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu vast of dit nodig is en benoem een FG.

STAP 7 MELDPLICHT DATALEKKEN
De AVG stelt strengere eisen aan de meldplicht van datalekken dan de Wpb en eist dat alle datalekken worden gedocumenteerd. Zorg dat documentatie van datalekken op orde is.

STAP 8 BEWERKERSOVEREENKOMSTEN
Heeft u de gegevensverwerking uitbesteed? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten voldoen aan de AVG.

STAP 9 LEIDENDE TOEZICHTHOUDER
Met vestigingen in meerdere EU-lidstaten is één privacytoezichthouder voldoende. Dit wordt de leidende toezichthouder genoemd. Bepaal van tevoren welke toezichthouder dit is.

STAP 10 TOESTEMMING
Voor sommige gegevensverwerkingen is vooraf toestemming nodig. Evalueer de huidige manier van toestemming vragen en pas deze indien nodig aan. Wilt u meer weten over de AVG? Ga naar www.autoriteitpersoonsgegevens.nl.

P.zine

Het bovenstaande artikel komt uit P.zine, de tweede editie van 2018. Klik hier om meer artikelen uit deze editie online te lezen. P.zine is een magazine voor de flexbranche, van Pay for People, dat sinds oktober 2013 elk kwartaal gratis wordt verspreid. Het magazine brengt op een toegankelijke manier marktontwikkelingen, kansen en bedreigingen onder de aandacht. Daarnaast voorziet het de lezer van achtergrondinformatie, opinies, tips & trucs.

Interesse?

P.zine wordt ieder kwartaal gratis per mail verzonden aan klanten en relaties van Pay for People. Heeft u interesse om P.zine gratis te ontvangen? Schrijf u hier in.

Suggesties of opmerkingen kunt u versturen naar info@payforpeople.nl t.a.v. P.zine.

Whitepaper Kansen zien en (be)grijpen
whitepaper

Kansen zien en (be)grijpen

Aanknopingspunten voor uitzendondernemers in een snel veranderende markt, met informatie en expertinterviews van:

  • Ton Sluiter (Manager Data & Innovatie bij Intelligence Group): ‘Digitalisering heeft altijd voordelen’
  • Visie van Dr. Job Hoogendoorn, Partner bij ERBS – Erasmus Research & Business Support over werving en selectie: ‘De intermediair van vandaag is de HR-partner van morgen’
  • Stijn Baert is professor arbeidseconomie aan de Universiteit Gent en Universiteit Antwerpen: ‘Scholing en ontwikkeling zijn de oplossing om de arbeidsmarkt weer in balans te krijgen.’
Open whitepaper