Privacyles op basisschool De Waterwilg in Nootdorp. © Autoriteit Persoonsgegevens 5 privacy by design en privacy by default Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default, en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat de persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk is voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig is. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. 6 functionaris voor de gegevensbescherming Onder de AVG zijn gemeenten verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. De FG is een interne toezichthouder op de verwerking van persoonsgegevens; hij of zij heeft een informerende en adviserende taak, en kan fungeren als een centraal aanspreekpunt tijdens het voorbereidingsproces. Als er een FG is aangesteld, moet deze ook aangemeld worden bij de Autoriteit Persoonsgegevens (AP). U moet de contactgegevens van de FG zelf bekend maken, bijvoorbeeld op uw website. 7 meldplicht datalekken De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet nu alle datalekken documenteren. Via deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens (Wbp), die alleen betrekking heeft op de gemelde datalekken. 8 verwerkersovereenkomsten Heeft u uw gegevensverwerking uitbesteed aan een verwerker, zoals uw loonadministratie of een app voor afvalinzameling of het melden van overlast? Beoordeel dan of de overeengekomen maatregelen in de bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig de noodzakelijke wijzigingen aan. onder de avg krijgen de mensen van wie u de persoonsgegevens verwerkt meer en verbeterde privacyrechten 9 toestemming Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan deze toestemming. Evalueer daarom de manier waarop u de toestemming vraagt, krijgt en registreert – en pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u van mensen een geldige toestemming heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor iedereen net zo makkelijk moet zijn om de toestemming in te trekken als om die te geven. Meer weten? In het AVGdossier op de website www.autoriteitpersoonsgegevens.nl vindt u de antwoorden op veelgestelde vragen. 23
24 Online Touch Home