Na bijna vier jaar onderhandelen en lobbyen is er overeenstemming over de Algemene Verordening Gegevensbescherming (AVGB). Begin dit jaar moet het Europees Parlement nog formeel instemmen, daarna hebben (publieke en private) organisaties twee jaar totdat de verordening in werking treedt. In deze blog een eerste indruk van de nu voorliggende tekst, met bepalingen die relevant zijn voor Nederlandse organisaties.
Veel rechten voor individuenDe mogelijkheid voor individuen om zelf te bepalen wat met er hun data gebeurt is een belangrijk element in de verordening. Organisaties krijgen een specifieke informatieplicht voor de wijze waarop zij persoonsgegevens verwerken en ondubbelzinnige toestemming van de betrokkene is een vereiste. Ook worden organisaties verplicht om datalekken te melden bij de toezichthouder en de betrokkene (in Nederland geldt deze verplichting overigens al).
Verplichte Data Protection Officer voor een aantal organisatiesOrganisaties die veel of gevoelige persoonsgegevens verwerken moeten een Data Protection Officer (DPO) aanstellen. De DPO is aanspreekpunt voor privacyzaken, rapporteert aan de directie en is in zijn functie min of meer autonoom. Daarnaast is het zijn taak om te zorgen dat de organisatie compliant is met privacywetgeving.
Verplichtingen bewerker nemen toeHostingbedrijven, cloudaanbieders en online boekhoudprogramma’s zijn voorbeelden van wat de wet ‘bewerkers’ noemt: zij verwerken persoonsgegevens in opdracht van een organisatie, de verantwoordelijke. Bewerkers krijgen aanmerkelijk meer verantwoordelijkheden; zij moeten kunnen aantonen dat de beveiliging van persoonsgegevens technisch en organisatorisch in orde is.
Privacy by design wordt belangrijkerDe privacyverordening verplicht organisaties om bij de ontwikkeling van een product of dienst in een vroeg stadium rekening te houden met privacy-aspecten, zoals doelbinding en beveiliging van persoonsgegevens. Daarnaast zijn privacyvriendelijke instellingen (privacy by default) straks de norm.
Documentatieplicht neemt toeDe verantwoordelijke en de bewerker moeten straks bijhouden bij welke activiteiten persoonsgegevens worden verwerkt. Dit document bevat een beschrijving van het type persoonsgegevens, het doel van de verwerking en – indien mogelijk – een beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen.
Is uw organisatie er klaar voor?De boodschap van de privacyverordening voor organisaties is helder: zorg dat u tijdig in control bent bij het verwerken van persoonsgegevens. Toezichthouders krijgen ook middelen om dit af te dwingen, met als maximum een administratieve sanctie van 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Het is daarom van belang dat uw organisatie privacy op directieniveau agendeert en organisatiebreed implementeert. VKA kan u hierbij helpen, door het leveren van advies of door het invullen van de rol van DPO. Zie ook www.vka.nl/privacy.