De Algemene Verordening Gegevensbescherming (AVG), die vanaf mei 2018 van kracht wordt, stelt strenge eisen aan de manier waarop organisaties omgaan met persoonsgegevens van Europese ingezetenen. De deadline in mei voor naleving van de AVG lijkt misschien nog ver weg, maar gezien de complexiteit van de veranderingen die nodig zijn in de manier waarop organisaties omgaan met persoonlijke gegevens, is dat echt niet zo. Voorbereiding op de AVG zou hoog op de agenda moeten staan voor elke organisatie die persoonsgegevens verwerkt.
De toegenomen verplichtingen die de AVG aan bedrijven oplegt, kunnen zakelijke planners enige zorgen baren. Hoewel veel van de belangrijkste concepten en principes van de AVG vrijwel hetzelfde zijn als die in de huidige Data Protection Acts 1988 en 2003 (de Acts), introduceert de GDPR nieuwe elementen en significante verbeteringen die gedetailleerde overweging vereisen door alle organisaties die betrokken zijn bij het verwerken van persoonlijke gegevens. gegevens.
Sommige elementen van de AVG zullen voor bepaalde organisaties relevanter zijn dan andere, en het is belangrijk en nuttig om die gebieden te identificeren en in kaart te brengen die de grootste impact hebben op uw bedrijfsmodel.
10 eenvoudige stappen om nu te nemen
Dus, wat kunnen bedrijven doen om ervoor te zorgen dat ze in mei 2018 aan de regels voldoen? Hier zijn 10 eenvoudige stappen die organisaties kunnen nemen:
1. Bewustzijn vergroten
Het is belangrijk om ervoor te zorgen dat alle belangrijke besluitvormers binnen uw organisatie op de hoogte zijn van de implicaties van AVG en wat het betekent voor hun dagelijkse activiteiten.
2. Stel vast hoe uw organisatie met gegevens omgaat
U moet documenteren welke persoonlijke gegevens u bewaart, waar deze vandaan komen en met wie u ze deelt. Het controleren van uw huidige methoden is een van de beste manieren om u voor te bereiden op de AVG, wat betekent dat een grondig begrip van hoe uw organisatie omgaat met gegevens van het grootste belang is.
3. Onderzoek elk facet van gegevensverwerking in uw organisatie
Het is belangrijk om vast te stellen waar persoonlijke gegevens worden opgeslagen, voordat u de veiligheid van die locatie beoordeelt, wie verantwoordelijk is voor het beheer van die gegevens en of deze worden gedeeld.
Betrek ook uw IT-afdeling bij dit proces, dat zal u een beter idee van de huidige mogelijkheden van uw organisatie geven.
4. Onderzoek eerdere datalekken
Door eerdere datalekken in uw systeem te onderzoeken, krijgt u een duidelijker beeld van de mogelijkheden van uw organisatie om op toekomstige aanvallen te reageren, en krijgt u een beter beeld van de vraag of die procedures voldoen om toekomstige aanvallen te weren.
Een van de opvallenste maatregelen die onder de AVG zullen worden ingevoerd, is dat datalekken binnen 72 uur na ontdekking moeten worden gemeld, samen met informatie over de aard en ernst van de aanval.
5. Benoem een functionaris voor gegevensbescherming (DPO)
De AVG vereist dat sommige organisaties een Data Protection Officer (DPO) aanwijzen. Organisaties die DPO’s nodig hebben, zijn onder meer overheidsinstanties, organisaties wier activiteiten de regelmatige en systematische monitoring van betrokkenen op grote schaal omvatten, of organisaties die op grote schaal zogenaamde gevoelige persoonsgegevens verwerken.
Het belangrijkste is om ervoor te zorgen dat iemand in uw organisatie, of een externe adviseur voor gegevensbescherming, de verantwoordelijkheid neemt voor de naleving van uw gegevensbescherming en de kennis, ondersteuning en autoriteit heeft om dit effectief te doen. Daarom moet u nu overwegen of u een DPO moet aanwijzen en, zo ja, om te beoordelen of uw huidige benadering van naleving van gegevensbescherming voldoet aan de vereisten van de AVG.
6. Wees u bewust van de regels omtrent de rechten van individuen
Een van de belangrijkste aspecten van de AVG is het versterken van de rechten van individuen, inclusief hoe u persoonlijke gegevens zou verwijderen of gegevens elektronisch en in een algemeen gebruikt formaat zou verstrekken. Bedrijven zijn verplicht om deze rechten te bevorderen, dus het is belangrijk om ervoor te zorgen dat er procedures zijn om dit mogelijk te maken. Rechten voor individuen onder de AVG zijn onder meer:
- Toegang tot het onderwerp
- Om onnauwkeurigheden te laten corrigeren
- Om informatie te laten wissen
- Om bezwaar te maken tegen direct marketing
- Om de verwerking van hun informatie te beperken, inclusief geautomatiseerde besluitvorming
- Gegevensportabiliteit
Over het algemeen zijn de rechten die individuen genieten onder de AVG dezelfde als die onder de Acts, maar met enkele belangrijke verbeteringen. Organisaties die deze al toepassen principes zullen de overgang naar de AVG minder moeilijk vinden.
7. Leer meer over toestemming
De AVG is bedoeld om meer duidelijkheid te bieden als het gaat om de kwestie van toestemming. Nieuwe maatregelen vereisen dat bedrijven een expliciete verklaring of “duidelijke bevestigende actie” krijgen als het gaat om gegevensverwerking.
Bedrijven zullen worden onderworpen aan nieuwe maatregelen die de mogelijkheid van kinderen beperken om hun toestemming te geven voor gegevensverwerking zonder ouderlijke toestemming. Het is daarom de moeite waard om te onderzoeken welke praktijken er al zijn om betrokkenen bewust te maken van hoe hun informatie zal worden gebruikt en verwerkt.
8. Identificeer uw leidende toezichthoudende autoriteit
Veel van de organisaties die onder de AVG vallen, zullen internationaal actief zijn. Het is belangrijk om vast te stellen waar belangrijke beslissingen met betrekking tot gegevensverwerking worden genomen, om te weten welke toezichthoudende autoriteit voor gegevensbescherming het voortouw neemt bij het onderzoeken van een klacht. Uw leidende toezichthoudende autoriteit wordt bepaald door de locatie van het hoofdbestuur van de organisatie in de EU.
9. Wijs meer middelen toe
Al deze overwegingen kunnen de infrastructuur van een organisatie zwaar belasten, daarom is het essentieel dat bedrijven extra middelen toewijzen om aan deze eisen te voldoen.
Vanaf mei 2018 moeten alle bedrijven die gegevens van Europese inwoners huisvesten, in de EU voldoen aan de AVG. Als bedrijven zich niet houden aan de regels van de AVG, kunnen ze een boete riskeren van maximaal 20 miljoen euro of 4% van hun jaaromzet.
10. Gegevensbeschermingseffectbeoordelingen (DPIA) en gegevensbescherming door ontwerp en standaard
Maak uzelf nu vertrouwd met de richtlijnen die de ICO heeft opgesteld over Privacy Impact Assessments (PIA’s) en werk uit hoe u deze in uw organisatie kunt implementeren. Deze leidraad laat zien hoe PIA’s kunnen worden gekoppeld aan andere organisatieprocessen, zoals risicomanagement en projectmanagement. U moet beginnen met het beoordelen van de situaties waarin het nodig zal zijn om een DPIA uit te voeren. Wie gaat het doen? Wie moet er nog meer worden betrokken? Wordt het proces centraal of lokaal uitgevoerd?
Het is altijd een goede gewoonte geweest om een privacy by design-benadering te hanteren en als onderdeel hiervan een privacy-effectbeoordeling uit te voeren. Een benadering van privacy door ontwerp en gegevensminimalisatie is altijd een impliciete vereiste geweest van de gegevensbeschermingsbeginselen. De AVG maakt dit echter een uitdrukkelijke wettelijke vereiste.
Merk op dat u niet altijd een PIA hoeft uit te voeren – een PIA is vereist in risicovolle situaties, bijvoorbeeld wanneer een nieuwe technologie wordt geïmplementeerd of waar een profilering operatie heeft waarschijnlijk aanzienlijke gevolgen voor personen. Houd er rekening mee dat wanneer een PIA (of DPIA zoals de AVG het uitdrukt) gegevensverwerking met een hoog risico aangeeft, u de ICO moet raadplegen om zijn mening te vragen over de vraag of de verwerking in overeenstemming is met de AVG.
Wilt u meer informatie over hoe uw organisatie kunt laten voldoen aan de AVG, neem contact op.