Privacywetgeving voor alle ondernemers
Hoe zit het met de nieuwe privacywetgeving voor alle ondernemers die in mei ingaat? Waar moet je als ondernemer allemaal aan voldoen?
Neem op tijd acties! De boetes bij overtredingen zijn niet mals!
Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing.
Lees je wijzer in onderstaand artikel en gebruik de tool die beschikbaar wordt gesteld door onder andere het Ministerie van Economische Zaken.
Privacyverklaring generator volgens de privacywetgeving voor alle ondernemers
Als midden- of kleinbedrijf lever je goederen en/of diensten aan klanten. Hiervoor heb je persoonsgegevens nodig. Wat je met deze gegevens doet, vertel je aan je klant in een privacyverklaring op je website. Hiertoe ben je ook wettelijk verplicht.
De privacyverklaring generator op deze website helpt je aan een basistekst voor deze privacyverklaring die:
* voldoet aan de nieuwe privacywetgeving die in mei 2018 in werking treedt (de AVG)
* kort en voor je klanten begrijpelijk is
* zo goed als mogelijk is toegespitst op jouw bedrijf (je moet hier en daar wel zelf nog wat gegevens toevoegen)
Wil je hulp bij het verzamelen van privacyverklaringen van je klanten volgens de Privacywetgeving voor alle ondernemers?
Dit artikel is bedoeld om je op weg te helpen bij de privacywetgeving voor alle ondernemers. Uw Eigen Secretariaat pretendeert niet hiermee uitputtend te zijn, maar geeft hiermee wel richtlijnen die voor veel ondernemers afdoende zullen zijn om te voldoen aan de privacywetgeving voor alle ondernemers.
Thema Zakelijk voor de privacywetgeving voor alle ondernemers
Op de pagina’s voor ondernemers vind je nog veel meer informatie en tips en tricks om persoonsgegevens te beschermen en de cybersecurity van je bedrijf te vergroten.
Plichten van de verwerkingsverantwoordelijke volgens de AVG
De plichten van de verwerkingsverantwoordelijke volgens de AVG zijn vermeld in de Handleiding Algemene verordening gegevensbescherming.
IN 10 STAPPEN VOORBEREID OP DE AVG
Privacywetgeving voor alle ondernemers
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Wat kan ik doen?
Als organisatie kun je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Om je hierbij te helpen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen voor je op een rijtje gezet.
In het grote AVG-dossier op de website van de AP vind je de antwoorden op veelgestelde vragen.
STAP 1: BEWUSTWORDING
Zorg ervoor dat de relevante mensen in je organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op je huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die je kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.
Bedenk dat de AP je organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet als je je niet aan de nieuwe privacywetgeving houdt.
STAP 2: RECHTEN VAN BETROKKENEN
Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop je met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
STAP 3: OVERZICHT VERWERKINGEN
Breng je gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
Je kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of te verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.
STAP 4: DATA PROTECTION IMPACT ASSESSMENT
Onder de AVG kun je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Je moet een DPIA uitvoeren als je beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Je kunt nu alvast inschatten of je straks DPIA’s moet uitvoeren en hoe je dit dan gaat aanpakken.
Komt straks uit een DPIA naar voren dat je beoogde verwerking een hoog risico oplevert?
En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvang je een schriftelijk advies van de AP.
STAP 5: PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Maak je organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen uw organisatie kunt invoeren.
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:
• een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
• op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
• als iemand zich op je nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
STAP 6: FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt.
Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag je organisatie ook vrijwillig een FG aanstellen.
STAP 7: MELDPLICHT DATALEKKEN
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in jouw organisatie hebben voorgedaan.
Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Wanneer de guidelines definitief zijn, kunnen wij je volledig informeren over de meldplicht datalekken onder de AVG.
STAP 8: VERWERKERSOVEREENKOMSTEN
Heb je je gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
STAP 9: LEIDENDE TOEZICHTHOUDER
Heeft je organisatie vestigingen in meerdere EU-lidstaten? Of hebben je gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.
STAP 10: TOESTEMMING
Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Meer informatie over de privacywetgeving voor alle ondernemers
Kijk voor meer informatie over het verwerken van persoonsgegevens volgens de privacywetgeving voor alle ondernemers en de wet Meldplicht datalekken op de website van de Autoriteit Persoonsgegevens*. Hier vind je onder andere de richtsnoeren van de Autoriteit Persoonsgegevens* voor het verwerken van persoonsgegevens, informatie over de meldingsplicht voor het verwerken van persoonsgegevens* en alles over de meldplicht datalekken*.
*Door op de links te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad.