Over een jaar moet elke organisatie voldoen aan de nieuwe Europese privacywetgeving. Boetes voor overtredingen kunnen oplopen tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens heeft een tienstappenplan opgesteld ter voorbereiding op de nieuwe regels.
De Algemene verordening gegevensbescherming (AVG) gaat in op 25 mei 2018 en geldt als privacywetgeving voor de hele Europese Unie. In Nederland vervangt de AVG de huidige Wet bescherming persoonsgegevens (Wbp).
De nieuwe wet versterkt en breidt privacyrechten van mensen uit én zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
De AP adviseert organisaties op tijd te beginnen met de implementatie van de regels en heeft samen met de andere Europese privacytoezichthouders ook richtlijnen opgesteld die meer uitleg geven over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren.
Lees ook: privacy in het personeelsdossier: wat mag en wat niet?
Om op tijd voorbereid te zijn op de implementatie van de Europese privacywetgeving, adviseert de AP organisaties om tien stappen te doorlopen. Stap 1 is volgens de AP zorgen voor bewustwording in de organisatie. Wat houden de nieuwe regels in? En wat betekenen deze regels voor menskracht en middelen?
De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties moeten zorgen dat mensen hun rechten kunnen uitoefenen. Het gaat dan om bestaande rechten, zoals het recht op inzage en verwijdering van hun gegevens. Maar ook om nieuwe rechten, zoals het recht op dataportabiliteit; het recht om persoonsgegevens te ontvangen die een organisatie van hen heeft, deze zelf op te slaan of door te geven aan een andere organisatie.
Ook moeten organisaties er rekening mee houden dat mensen bij de AP klachten kunnen indienen over de manier waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten te behandelen.
Verder adviseert de toezichthouder organisaties onder meer in kaart te brengen welke persoonsgegevens zij verwerken, waar de gegevens vandaan komen en met wie de organisatie ze deelt. Onder de AVG moeten organisaties een register bijhouden om te kunnen aantonen dat ze in overeenstemming met de wet handelen.
Onder de AVG kunnen organisaties verplicht zijn een privacy impact assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Hiermee kunnen de organisaties vervolgens maatregelen nemen om de risico’s te verkleinen. Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.
De Europese privacytoezichthouders hebben guidelines met criteria opgesteld om het risico te bepalen. Daarnaast publiceert de AP op termijn een lijst van verwerkingen waarvoor een PIA verplicht is.