Wat zijn voor organisaties de belangrijkste veranderingen van de nieuwe privacywet?

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat u met documenten moet kunnen aantonen dat uw organisatie de juiste organisatorische en technische maatregelen heeft getroffen om aan de AVG te voldoen. 

Waar moet u rekening mee houden?

• Ieder bedrijf dient een register aan te leggen met een overzicht van alle persoonsgegevens;
• Alle betrokkenen (lees: iedereen waar u persoonsgegevens van hebt verzameld) moeten geïnformeerd worden over de verwerking van hun gegevens;
• U dient een verwerkingsovereenkomst te sluiten met alle derde partijen die uw verzamelde persoonsgegevens verwerken.
• U moet een Data Protection Officer (DPO) aanstellen die intern de onafhankelijke toezichthouder is en tevens de contactpersoon is voor de Autoriteit Persoonsgegevens.

Nog meer aandachtspunten rond de AVG

1. Breng alle informatiestromen in de organisatie in kaart. Documenteer onder meer welke persoonsgegevens er verwerkt worden, van wie, met welk doel deze worden verwerkt en met wie u de persoonsgegevens deelt. Hiervoor dient een zogenaamd verwerkingsregister aangelegd te worden waarin dit beschreven wordt. Overheidsinstanties en onder meer organisaties die op grote schaal mensen observeren (cameratoezicht) of op grote schaal bijzondere persoonsgegevens verwerken zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. De FG houdt binnen de onderneming toezicht op de toepassing en naleving van de AVG. 
2. In sommige gevallen moeten privacyrisico’s van een gegevensverwerking in kaart gebracht worden middels een Data Protection Impact Assessment (DPIA). Dit is een hulpmiddel om vooraf bepaalde privacyrisico’s in kaart te brengen van een bepaalde gegevensverwerking. U bent slechts verplicht zo’n DPIA uit te voeren wanneer de privacyrisico’s waarschijnlijk hoog zijn. Denk hierbij aan profielen van personen. 
3. Hoe gaat u om met een datalek? Wanneer moet u het melden en aan wie moet u het binnen de organisatie melden? Daarnaast moet elke datalek geregistreerd worden in het zogenaamd register datalekken. Een ernstig lek moet zelfs (binnen 72 uur) gemeld worden aan de Autoriteit Persoonsgegevens. 
4. De betrokkene (bijvoorbeeld een werknemer) heeft het recht op inzage (ook op schrift) van de persoonsgegevens die van hem specifiek worden verwerkt. U kunt hier bij denken aan een werknemer die een kopie wil van zijn eigen personeelsdossier. 
5. Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doel waarvoor u deze gegevens heeft verzameld. Concrete bewaartermijnen kent de AVG echter niet. Er zijn wel een aantal wetten die specifieke bewaartermijnen hanteren. Denk maar aan de kopie van het ID-bewijs van de werknemer: deze dient de werkgever ten minste vijf jaar te bewaren na einde dienstverband. 
6. De betrokkenen waarvan u persoonsgegevens verwerkt hebben het recht op heldere informatie over de persoonsgegevens die u verwerkt en over het doel waarvoor u deze gegevens gebruikt. U kunt aan deze verplichting voldoen door een eigen privacyverklaring op te stellen.

Deze opsomming is zeker niet compleet; de AVG is te uitgebreid om op een A4’tje samen te vatten. Het zijn wel zeer relevante zaken die u in ieder geval goed moet hebben nagekeken.

Heeft u vragen over de AVG?

HLB Nederland helpt u graag verder inzake AVG Compliance. Neemt u contact met ons op.