In deel I en II ben ik ingegaan inhoudelijk ingegaan op de de verplichtingen van de AVG voor werkgevers en het type persoonsgegevens waarop de AVG van toepassing is. In dit laatste deel van het drieluik over de nieuwe privacywetgeving, zal ik belichten welke concrete stappen u als werkgever kan nemen om optimaal voorbereid te zijn als de AVG op 25 mei 2018 in werking treedt.
Alle organisaties, waaronder scholen en zorginstellingen, krijgen meer verantwoordelijkheden met betrekking tot de verwerking van hun (bijzondere) persoonsgegevens. Welke concrete stappen moet u als werkgever nemen om te voldoen aan de AVG? Het is zeer belangrijk dat u op tijd voldoet aan deze nieuwe wet. Boetes kunnen namelijk oplopen tot 20 miljoen euro of 4 % van uw totale jaaromzet. Hieronder bespreek ik daarom de 10 stappen die u kan nemen ter voorbereiding, zoals deze worden aangeraden door de Autoriteit Persoonsgegevens (hierna AP). Volgt u deze stappen? Dan kunt u er zeker van zijn dat u op 25 mei 2018 helemaal klaar bent voor de inwerkingtreding van de AVG. U hoeft u dan geen zorgen meer te maken over het risico op een boete. Stap 1: Bewustwording Zorg dat uw organisatie zich bewust wordt van de impact van de AVG. Het is erg belangrijk dat het personeel van uw organisatie, zeker HR medewerkers of medewerkers met HR taken, op de hoogte zijn van de komst van deze nieuwe wet en de invloed die dit heeft voor de processen in uw organisatie. U kunt denken aan het geven van een presentatie tijdens een personeelsbijeenkomst, waarin voor het personeel duidelijk op een rijtje wordt gezet welke veranderingen er met de AVG voor uw organisatie gaan optreden en wat er allemaal moet gebeuren qua processen en veranderingen in de organisatie. Houd rekening met de tijd die het kost om de processen in uw organisatie ook daadwerkelijk AVG-proof te maken, dit kan namelijk veel vragen van uw werknemers en middelen. Begin hier daarom zo snel mogelijk mee. Stap 2: rechten van betrokkenen Zorg ervoor dat de mensen van wie u persoonsgegevens verwerkt, goed in staat worden gesteld om zowel hun oude privacyrechten (inzage, correctie en verwijdering van hun gegevens) als hun nieuwe privacyrechten (bijv. dataportabiliteit, intrekken toestemming) uit te oefenen. Mensen kunnen namelijk klachten indienen bij de Autoriteit Persoonsgegevens over de manier hoe u omgaat met hun gegevens. Stap 3: Overzicht verwerkingen Onder de AVG geldt een verantwoordingsplicht. U zal ten alle tijde moeten kunnen aantonen dat u handelt in overeenstemming met de AVG. Zo dient u een register verwerkingsactiviteiten bij te houden. Het valt dus aan te raden om uw gehele gegevensverwerking in kaart te brengen, waarbij u aangeeft welke persoonsgegevens u verwerkt en met welk doel, waar de gegevens vandaan komen en met wie u de gegevens deelt. Het gegevensregister kunt u voor allerlei controles later nodig hebben, zoals wanneer betrokkenen hun privacyrechten willen uitoefenen en zij u vragen hun gegevens te corrigeren of te verwijderen. U dient deze aanpassingen dan ook door te geven aan de organisaties waarmee u de gegevens gedeeld hebt. Stap 4: DPIA (Data protection impact assessment) DPIA Sommige organisaties zijn verplicht een DPIA af te nemen. Een DPIA is een instrument om vooraf de privacyrisico’s van gegevensverwerking te achterhalen, zodat u vooraf maatregelen kan treffen om deze te verkleinen. Een DPIA moet worden uitgevoerd op het moment dat uw beoogde gegevensverwerking een hoog privacyrisico in zich draagt. Wanneer dit volgens de AVG zeker het geval is, is als u:
Ook zal de Autoriteit Persoonsgegevens op den duur een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. Voor de DPIA geldt tevens een verantwoordingsplicht: ook als u aan geen of één van de criteria voldoet, moet u goed kunnen onderbouwen waarom u wel of geen DPIA heeft afgenomen. Komt uit de DPIA dat uw gegevensverwerking inderdaad een hoog risico heeft en lukt het niet maatregelen te bedenken om dit risico te beperken? Dan dient u te overleggen met de Autoriteit Persoonsgegevens voor u start met de verwerking van de gegevens. De Autoriteit Persoonsgegevens beoordeelt of u in strijd handelt met de AVG. Als dit het geval is ontvangt u van hen een schriftelijk advies voor verbetering van uw systeem. Stap 5: Privacy by design & privacy by default Zorg dat uw organisatie bekend raakt met de uitgangspunten van privacy by design en privacy by default. Privacy by design houdt in dat u van tevoren bij het ontwerpen van gegevensverwerking zorgt dat u rekening houdt met de bescherming van de persoonsgegevens en dat u niet meer gegevens verzameld dan noodzakelijk is voor het doel van de verwerking en dat u de gegevens niet langer bewaart dan nodig is. Privacy by default houdt in dat u de nodige maatregelen neemt, zowel technisch als organisatorisch, om ervoor te zorgen dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken. U kunt dan bijvoorbeeld denken aan het niet vragen van meer gegevens dan nodig voor het te bereiken doel, als iemand zich op uw nieuwsbrief wil abonneren. Stap 6: Functionaris voor gegevensbescherming Bepaal of het verplicht is voor uw organisatie om een functionaris voor de gegevensverwerking (FG) aan te stellen, voor ziekenhuizen en scholen die op grote schaal bijzondere persoonsgegevens verwerken, is dit bijvoorbeeld verplicht. Uiteraard mag u dit ook vrijwillig doen. Wacht niet te lang met het zoeken naar een geschikt iemand. Stap 7: Meldplicht datalekken Ondanks dat de meldplicht onder de AVG grotendeels hetzelfde blijft, stelt de AVG wel strengere eisen. Nu geldt er slechts een protocolplicht. Vanaf de AVG zal er ook een documentatieplicht van alle datalekken gelden, zodat de Autoriteit persoonsgegevens kan controleren of u aan uw meldplicht voldaan heeft. Stap 8: Verwerkersovereenkomsten Als u uw gegevensverwerking heeft uitbesteed aan een verwerker (dit heet nu nog ‘bewerker’), dient u te beoordelen of de maatregelen die in de contracten staan nog steeds voldoen aan de AVG. Als dit niet zo is, wijzig deze overeenkomsten dan tijdig. Stap 9: Leidende toezichthouder Als uw gegevensverwerking impact heeft op meerdere EU-lidstaten of u vestigingen heeft in meerdere EU-lidstaten, hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen; ook wel de leidende toezichthouder genoemd. Bepaal van tevoren onder welke privacytoezichthouder uw organisatie valt. Stap 10: Toestemming Controleer ook hoe u op dit moment toestemming vraagt en registreert. U moet kunnen aantonen dat u geldige toestemming heeft gekregen en dat het makkelijk is voor mensen om hun toestemming weer in te trekken en te verzoeken om hun gegevens te verwijderen. Conclusie Zorg dat u zo snel mogelijk het 10 stappenplan afloopt om u optimaal voor te bereiden op de inwerkingtreding van de AVG. Hierboven heb ik getracht u een kader te geven omtrent de stappen die u als werkgever kan nemen. Mocht u naar aanleiding van deze weblog of het drieluik nog vragen hebben, neem gerust contact met mij op via [email protected].
0 Comments
In deel I van dit drieluik ben ik ingegaan op de strenge eisen die de Algemene Verordening Gegevensbescherming (hierna te noemen: “AVG”) aan u als werkgever stelt. In dit deel bespreek ik welke persoonsgegevens, voor welk doel, verwerkt mogen worden.
Persoonsgegevens Er is sprake van een ‘persoonsgegeven’ als u via het desbetreffende gegeven de identiteit van een werknemer direct of zonder veel inspanning, vast kan stellen. De AVG maakt onderscheid tussen algemene persoonsgegevens en bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden strengere eisen dan voor het verwerken van algemene persoonsgegevens. Bij algemene persoonsgegevens kan bijvoorbeeld gedacht worden aan de NAW- gegevens van de werknemer. Bijzondere persoonsgegevens Onder bijzondere persoonsgegevens worden gegevens verstaan die wat gevoeliger liggen. Het moet gaan om gegevens omtrent:
Het verwerken van deze bijzondere persoonsgegevens is in principe verboden, tenzij er een wettelijke uitzondering geldt. Deze uitzonderingen zijn te vinden in artikel 9 lid 2 AVG. Wettelijke grondslagen voor verwerking persoonsgegevens In de AVG worden vier wettelijke grondslagen genoemd voor de verwerking van persoonsgegevens in zijn algemeenheid;
In de praktijk Om als werkgever zeker te weten dat u voldoet aan de eisen van de AVG, kan u het beste de volgende drie stappen volgen:
Als u tot de conclusie komt dat aan bovenste drie vereisten voldaan is, kan u ervan uitgaan dat u voldoet aan de AVG-vereisten. Conclusie Om te voldoen aan de eisen die de AVG stelt aan de verwerking van persoonsgegevens, moet u goed kijken of de verwerking berust op een wettelijke grondslag. Daarnaast dient u te beoordelen of de gegevens die u verwerkt, zijn aan te merken als algemene persoonsgegevens of als bijzondere persoonsgegevens. Voor het verwerken van bijzondere persoonsgegevens gelden namelijk strengere eisen. In deel III van dit drieluik zal ik de concrete stappen die u als werkgever moet nemen om te voldoen aan de AVG nog een keer duidelijk op een rij zetten. |
Auteur
Kim van Berkel Archieven
June 2021
Categorieën
|