Hoe ga je als verantwoordelijke om met het verwerken van persoonsgegevens onder de privacyverordening?
In deze eerste blogpost van de reeks behandelen we de 10 grootste en belangrijkste veranderingen van de privacyverordening die betrekking hebben op de verantwoordelijke van een verwerking van persoonsgegevens. De verantwoordelijke is de persoon in de organisatie die het doel en de middelen van de verwerking(en) bepaalt. Dit houdt in dat hij/zij het hoe en waarom van een verwerking bepaalt.
We hebben de 10 veranderingen/verplichtingen die van belang zijn voor je op een rijtje gezet:
1. Een register van de verwerkingsactiviteiten
Organisaties zijn verplicht om een register bij te houden van alle verwerkingsactiviteiten met betrekking tot persoonsgegevens. Dit register moet bestaan uit de volgende punten:
- De naam en contactgegevens van de verantwoordelijke van deze verwerkingen;
- De doeleinden van de verwerking (of verwerkingen);
- De categorieën betrokkenen, bijvoorbeeld hebben de persoonsgegevens betrekking op werknemers, oud-werknemers leerlingen, klanten etc.;
- De categorieën persoonsgegevens, bijvoorbeeld NAW-gegevens, financiële gegevens, BSN etc.;
- Eventuele derden ontvangers van de persoonsgegevens en doorgifte naar derde landen;
- Bewaartermijnen;
- Een omschrijving van de technische en organisatorische veiligheidsmaatregelen die door de organisatie genomen zijn. Het kan gaan om fysieke beveiliging (slot op een deur), technische beveiliging (virusscanners) of organisatorische maatregelen (het hebben van een goed privacybeleid).
Tip: begin op tijd met het in kaart brengen van alle verwerkingsactiviteiten zodat alle informatie op tijd in het register is opgenomen.
2. Een privacybeleid
In een organisatie waar persoonsgegevens worden verwerkt moeten interne beleidsmaatregelen worden genomen. Een privacybeleid legt bijvoorbeeld uit hoe werknemers met persoonsgegevens om moeten gaan en welke maatregelen getroffen worden om toe te zien op het correct naleven van de privacyverordening.
Tip: stel een privacybeleid op en zorg dat je werknemers op de hoogte zijn van de inhoud.
3. Uitvoeren van Privacy Impact Assessment (PIA)
Organisaties zijn verplicht om bij risicovolle verwerkingen een PIA uit te voeren. Of een verwerking risicovol is bepaal je door te kijken naar de aard, de omvang, de context en de doeleinden ervan. Bij grootschalige verwerkingen van bijzondere gegevens is een PIA bijvoorbeeld verplicht. In een PIA wordt de betreffende verwerking systematisch beschreven en de doeleinden worden uitgelegd. Dit assessment bevat ook een overzicht van voorgenomen maatregelen om de risico’s van de verwerking te beperken.
Tip: ga na of er binnen de organisatie verwerkingen plaatsvinden met een hoog risico en bepaal of een PIA op z’n plaats is.
4. De rechten van betrokkenen
Nieuw voor de verantwoordelijke onder de verordening zijn:
- Het recht op beperking van een verwerking Dit houdt in dat, op verzoek van de betrokkene, de verwerking van bepaalde persoonsgegevens tijdelijk gestopt moet worden om bijvoorbeeld de juistheid van de persoonsgegevens te controleren.
- Het recht op overdraagbaarheid van gegevens Dit houdt in dat een betrokkene in bepaalde gevallen zijn of haar persoonsgegevens kan opvragen bij een organisatie. De verantwoordelijke is verplicht om dit in een gestructureerde, gangbare en machine-leesbare vorm aan te bieden zodat de gegevens eventueel overgedragen kunnen worden aan een andere partij.
Tip: kijk of het mogelijk is of een bepaalde verwerking tijdelijk gestopt kan worden. Dit kan bijvoorbeeld door de betreffende gegevens tijdelijk ergens anders op te slaan.
5. Een omvangrijkere bewerkersovereenkomst
Ook met betrekking tot de bewerkersovereenkomst gaan er dingen veranderen. De nieuwe verordening omschrijft namelijk veel gedetailleerder waar een bewerkersovereenkomst aan moet voldoen. Houd onze blogpagina in de gaten voor de blogpost over de bewerker, degene die gegevens verwerkt voor de verantwoordelijke, en de bewerkersovereenkomst.
Tip: loop alle bestaande bewerkersovereenkomsten na en kijk of deze nog voldoen aan alle eisen.
6. Toepassen van privacy by design en privacy by default
Privacy by design houdt in dat bij het ontwikkelen van nieuwe producten of diensten al rekening wordt gehouden met privacy. Denk aan: dataminimalisatie, pseudonimisatie van persoonsgegevens en betrokkenen de mogelijkheden te geven om makkelijk hun gegevens in te kunnen zien en te veranderen. Privacy by default betekent dat de standaard privacyinstellingen zo gunstig mogelijk zijn ingesteld voor de gebruikers.
Tip: denk tijdens het ontwerp- en ontwikkelingsproces van systemen en processen al na over privacy.
7. Verwerken van bijzondere persoonsgegevens
Voor het verwerken van zogenaamde bijzondere persoonsgegevens gelden strenge regels. Denk hierbij aan persoonsgegevens betreffende: iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging en bepaalde strafrechtelijke gegevens. De privacyverordening kent twee nieuwe categorieën bijzondere persoonsgegevens: genetische gegevens en biometrische gegevens.
Tip: ga na of er binnen de organisatie bijzondere persoonsgegevens worden verwerkt, zorg dat je weet welke regels gelden voor het type bijzondere gegevens dat je verwerkt en probeer het gebruik ervan zoveel mogelijk te beperken.
8. Kans op (hogere) boetes
Sinds 1 januari jl. is de Autoriteit Persoonsgegevens (AP) bevoegd tot het opleggen van hogere boetes. Als de privacyverordening van toepassing is, wordt dit boetemaximum verhoogd naar 20 miljoen euro of, bij ondernemingen, 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. De privacyverordening geeft de AP de mogelijkheid om de boete direct op te leggen.
Tip: Begin op tijd met het implementeren van alle nieuwe regels en voorkom een boete
9. Melden van datalekken
Niet alleen kan de AP hogere boetes opleggen, ook moeten datalekken vanaf 1 januari jl. gemeld worden. Voor Nederland verandert er niets met betrekking tot het melden van datalekken, maar in de rest van Europa geldt vanaf dan deze meldplicht ook.
Tip: zorg dat je procedures hebt om datalekken te kunnen melden bij de AP.
10. Aanstellen van een functionaris voor de gegevensbescherming (FG)
In bepaalde gevallen moeten organisaties verplicht een FG aanstellen. Dit is het geval wanneer de verwerkingen worden verricht door de overheid, wanneer een organisatie hoofdzakelijk belast is met stelselmatig observaties van betrokkenen of met het grootschalig verwerken van bijzondere persoonsgegevens. In de toekomstige blogpost over de FG kom je meer te weten over deze aanstelling in een organisatie.
Tip: ga na of je bedrijf een FG nodig heeft. Als dit het geval is kan er binnen het bedrijf iemand aangesteld worden. Het is ook mogelijk om een externe FG in te huren.