22

artikel nieuwe privacyrechten stellen andere eisen de avg in een notendop Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens geldt dan niet meer. Tekst: Sandra Loois, senior woordvoerder/communicatieadviseur bij de Autoriteit Persoonsgegevens D e Algemene verordening gegevensbescherming (AVG) versterkt de positie van de mensen van wie er gegevens worden verwerkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties, waaronder overheden, die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Om u te helpen op tijd klaar te zijn voor de AVG, heeft de Autoriteit Persoonsgegevens hier de belangrijkste negen stappen op een rijtje gezet. 1 bewustwording Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen, en verder ook inschatten welke aanpassingen er nodig zijn om aan de AVG te voldoen. De Autoriteit Persoonsgegevens (AP) biedt instrumenten die kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVGregelhulp, of bijvoorbeeld ook de richtlijnen die zijn opgesteld samen met de andere privacy­toezichthouders in Europa. Daarnaast heeft de VNG een stappenplan voor gemeenten gepubliceerd dat onderdeel uitmaakt van een privacy­ondersteuningspakket en dat aansluit bij de handreikingen en factsheets over dit onderwerp. 2 rechten van betrokkenen Onder de AVG krijgen de mensen van wie u de persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan de bestaande rechten, zoals het recht op inzage en het recht op correctie en ver22 wijdering. Maar houd ook alvast rekening met de nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen. 3 overzicht verwerkingen Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van die verantwoordingsplicht. 4 data protection impact assessment Onder de AVG kunt u verplicht zijn om een zogeheten data protection impact assessment (DPIA) uit te voeren. Dit is een instrument waarmee vooraf de privacyrisico’s van een gegevensverwerking in kaart gebracht kunnen worden, om zo vervolgens maatregelen te kunnen nemen die de risico’s verkleinen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s zal moeten uitvoeren en hoe u dit dan gaat aanpakken. Komt er straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u dan niet om maatregelen te vinden die dit risico kunnen beperken? Overleg in dat geval met de AP voordat u met de verwerking begint.

23 Online Touch Home