Stappenplan van Autoriteit Persoonsgegevens bereidt bedrijven voor op AVG

De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar die organisaties helpt zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Bedrijven moeten vanaf 25 mei 2018 voldoen aan deze nieuwe Europese privacywetgeving. Overtreding van de wet kan worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG wordt in de gehele Europese Unie (EU) ingevoerd en vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet legt organisaties die persoonsgegevens verwerken meer verplichtingen op. De nadrukt ligt bij de AVG meer dan bij de Wbp op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij voldoen aan de wet. De AP adviseert organisaties tijdig van start te gaan met de implementatie van de regels.

Wanneer een PIA uitvoeren?

Het stappenplan is door de Autoriteit Persoonsgegevens in samenwerking met andere Europese privacytoezichthouders opgesteld om hierbij te helpen. Het stappenplan geeft meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Stap 1 bestaat uit het zorgen voor bewustwording binnen de organisatie. Hierbij staan vragen centraal als:

• Wat houden de nieuwe regels in?
• Wat betekenen deze regels voor menskracht en middelen?

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties zijn verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan bestaande rechten zoals het recht op inzage en verwijdering van gegevens, maar ook om nieuwe rechten zoals dataportabiliteit. Dataportabiliteit geeft gebruikers het recht persoonsgegevens te ontvangen die een organisatie over hen heeft verzameld zodat deze zelf kunnen worden opgeslagen of kunnen worden doorgegeven aan een andere organisatie.

Klachten indienen bij AP

Ook wijst de AP erop dat gebruikers bij de AP klachten kunnen indien over de wijze waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten in behandeling te nemen. De toezichthouder adviseert bedrijven in kaart te brengen welke persoonsgegevens zij verwerken, waar deze gegevens vandaan komen en met wie deze gegevens worden gedeeld. De AVG verplicht bedrijven een register bij te houden om  te kunnen aantonen dat zij in overeenstemming met de wet handelen.

Het uitvoeren van een PIA is in sommige gevallen verplicht. Een PIA is een instrument waarmee vooraf de privacyrisico’s van gegevensverwerking in kaart kunnen worden gebracht. Dit maakt het mogelijk maatregelen te nemen om de risico’s te verkleinen. Een PIA is verplicht indien gegevensverwerking ‘waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt’. Dit is in ieder geval het geval indien een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Feedback op richtlijnen

Om bedrijven meer duidelijkheid te geven over de PIA hebben de Europese privacytoezichthouders richtlijnen met criteria opgesteld om het privacyrisico te bepalen. Deze richtlijnen zijn opgesteld in samenwerking met stakeholder. Tot en met 23 mei 2017 is het mogelijk in het Engels feedback op deze richtlijnen te sturen naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr. Nederlandse organisaties kunnen ook opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of 070 – 8888 500. Op termijn wordt een lijst van verwerkingen waarvoor een PIA verplicht is beschikbaar gesteld.