Vijf tips voor het voorkomen van torenhoge privacy boetes

24 augustus 2017 Consultancy.nl 5 min. leestijd

In mei volgend jaar treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De nieuwe privacywet verplicht Europese organisaties om de manier waarop zij met klantgegevens omgaan aan te scherpen en hun interne procedures te verbeteren om de privacy van klanten beter te kunnen beschermen. Als ze niet voldoen aan de nieuwe eisen, riskeren organisaties torenhoge privacy-boetes. Vijf tips van Rilana de Vries, adviseur bij Leeuwendaal, om deze boetes te voorkomen.

De General Data Protection Regulation (GDPR) is een nieuwe Europese wet op het gebied van privacy en databeveiliging. De Nederlandse versie van deze wet, de Algemene Verordening Gegevensbescherming (AVG), treedt op 25 mei 2018 in werking en vervangt de Wet bescherming persoonsgegevens (Wbp). Een van de belangrijkste doelstellingen van de GDPR, naast het wettelijk verplicht stellen van betere databeveiliging, is het gelijkstellen van de privacywetgeving tussen verschillende EU-lidstaten.

Naast het uitbreiden van de privacy-rechten van burgers en van de verplichtingen voor organisaties, zijn ook de boetes voor het niet voldoen aan de wetgeving verhoogd. “Indien u zich niet houdt aan de AVG dan kan de Autoriteit Persoonsgegevens u daarvoor een forse boete opleggen die kan oplopen tot € 20 miljoen of 4% van de totale (wereldwijde) jaaromzet”, vertelt Rilana de Vries, juridisch adviseur bij Leeuwendaal. Volgens De Vries, die onder meer gespecialiseerd is in arbeids- en ambtenarenrecht, doen organisaties er goed aan om zich degelijk voor te bereiden op de komst van de privacywet. De adviseur heeft vijf tips voor bedrijven die zich willen voorbereiden of zich reeds aan het voorbereiden zijn om te kunnen voldoen aan de eisen van AVG.

Vijf tips voor het voorkomen van torenhoge privacy boetes

Creëer bewustwording

Volgens De Vries is het belangrijk dat iedereen in de organisatie op de hoogte is van de nieuwe privacyregels. “Het menselijk handelen om de privacy te beschermen is minstens zo belangrijk als goede beveiliging van systemen”, aldus de adviseur. Ze vervolgt: “Het belang van bewustwording en risicobesef kan niet onderschat worden.”

Inventariseer de gegevensverwerkingen

Voor organisaties met 250 of meer werknemers die op grote schaal persoonsgegevens verwerken, wordt het met de komst van de AVG verplicht om een overzicht of register bij te houden van hun gegevensverwerkingen. Ditzelfde geldt voor organisaties die gevoelige gegevens verwerken. Bij het inrichten van dit register moeten organisaties zichzelf volgens De Vries een aantal vragen stellen: “Welke gegevens verwerkt u en met welk doel? Waar komen de gegevens vandaan en met wie worden zij gedeeld? Op welke (wettelijke) grondslag worden de gegevens verwerkt?” Ze vult aan: “Besteed eveneens aandacht aan gegevensverwerking die een intern doeleinde hebben, zoals de persoonsregistratie van (eigen) medewerkers.”

Ook voor kleinere organisaties kan een dergelijk overzicht nuttig zijn, aldus de adviseur. Als betrokkenen hun privacyrechten willen uitoefenen, stelt het gegevensverwerkingenoverzicht de organisatie in staat om eenvoudig correcties door te voeren of gegevens te verwijderen. De AVG introduceert bovendien twee nieuwe privacyrechten – het recht op dataportabiliteit en het recht om te worden vergeten (right to be forgotten) worden wettelijk verankerd. Het recht op dataportabiliteit houdt in dat betrokkenen het recht hebben om een kopie van hun gegevens over te laten dragen aan een andere partij.

De Vries adviseert: “Organisaties zijn straks verplicht om aan te tonen dat zij in overeenstemming met de AVG handelen. Leg daarom zo veel mogelijk schriftelijk vast in protocollen en controleer regelmatig of deze nog up-to-date zijn. Vergeet ook niet om de bestaande bewerkersovereenkomsten te controleren en te beoordelen of de daarin genoemde maatregelen om de privacy te beschermen nog toereikend zijn.”

Vijf tips voor het voorkomen van privacy boetes

Privacy impact assessment (PIA)

Voor sommige organisaties wordt het met de komst van de AVG verplicht om een privacy impact assessment (PIA) uit te voeren. Dit is voornamelijk het geval voor organisaties die gegevens verwerken waarvan verwacht wordt dat deze een hoog privacy-risico met zich meebrengen. Een PIA brengt de risico’s in kaart. Aan de hand van de uitkomsten kunnen organisaties maatregelen treffen om het risico te verkleinen. “Indien het risico groot blijft, dient u eerst met de Autoriteit Persoonsgegevens te overleggen alvorens u met de verwerking start”, vertelt De Vries.

Functionaris voor de gegevensverwerking (FG)

Publieke overheden en organisaties die activiteiten uitvoeren die regelmatig en systematische monitoring van gebruikers vereisen, worden onder de AVG verplicht om een functionaris voor de gegevensverwerking (FG) in te stellen. Ook organisaties die op grote schaal persoonlijke gegevens verwerken, zullen een FG aan moeten stellen. Deze FG heeft de taak om toe te zien op de omgang met persoonsgegevens en te controleren of de organisatie voldoet aan privacyregelgeving.

Datalekken melden

De AVG stelt strengere eisen aan bedrijven op het gebied van het melden van datalekken. Niet alleen is het melden hiervan verplicht, maar ook moeten organisaties volgens De Vries een nauwkeurige documentatie van alle datalekken aanleggen. Dit stelt de Autoriteit Persoonsgegevens in staat om te controleren of de organisatie aan zijn meldplicht heeft voldaan.

Leeuwendaal ondersteunt organisaties op verschillende manieren bij de voorbereiding op de nieuwe privacyverordening. De adviseurs van het bureau kunnen onder meer worden ingeschakeld voor hulp bij het opzetten van een register van gegevensverwerkingen, het doorlichten van privacyreglementen, het up-to-date maken van privacyprotocollen en het verzorgen van interactieve privacybewustwordingssessies.

Gerelateerd:
- Markt voor privacy consultancy neemt vlucht door GDPR | AVG.
GDPR | AVG implementatie begint bij de '1st line of defence'.