Blog

Wat bedrijven kunnen doen om compliant te zijn met de GDPR, de nieuwe Europese privacywetgeving

Door:  Bart Hoogenraad

Hoeveel documenten met persoonlijke informatie zwerven er rond binnen uw organisatie? Dan bedoel ik niet alleen de netjes geordende documenten in de archiefkast, maar ook alle digitale bestanden waar persoonsgegevens in staan. Dat zijn er vaak verrassend veel. En dat betekent waarschijnlijk dat er nog veel moet worden gedaan om compliant te zijn met de nieuwe Europese privacywetgeving, de GDPR. Voldoet uw bedrijf niet aan deze regelgeving, dan kan het een boete krijgen die kan oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. Maar hoe voorkom je dat en hoe kun je je als bedrijf goed voorbereiden?

Per 25 mei 2018 is de GDPR, in Nederland ook bekend als de Algemene Verordening Gegevensbescherming (AVG), van toepassing. Over minder dan een jaar geldt dus dezelfde privacywetgeving in de hele Europese Unie. Deze wetgeving heeft als doel de privacy van mensen beter te beschermen. Hierdoor krijgen organisaties die persoonsgegevens verwerken veel meer verplichtingen. Zo moeten zij bijvoorbeeld eerst toestemming vragen aan mensen om hun persoonsgegevens te mogen verwerken en krijgen mensen het recht om organisaties te vragen hun persoonsgegevens te verwijderen.

Voor organisaties die persoonsgegevens verwerken (lees: bijna ieder kantoor) kan dat behoorlijk wat extra werk betekenen. Waar voorheen steevast alle beschikbare persoonlijke informatie werd vastgelegd om het alvast maar te hebben voor wanneer het nodig is, moet er nu veel zorgvuldiger worden gewerkt om die data te verkrijgen en te verwerken. In feite betekent dit een volledige reset van het proces van werken met persoonlijke data. Er ontstaat een nieuwe realiteit waarin de privacy van de mens belangrijker wordt dan het belang van het bedrijf dat werkt met die persoonsgegevens.

De Autoriteit Persoonsgegevens (AP) heeft tien aandachtspunten benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving.

1. Bewustwording
Zorg ervoor dat werkgevers en werknemers bekend worden met de nieuwe privacyregels, zodat zij weten wat er van hen wordt verwacht.

2. Rechten van betrokkenen
Houd alvast rekening met de extra privacy rechten die mensen krijgen door de nieuwe wetgeving, zodat u klaar bent wanneer men zich hierop beroept.

3. Overzicht verwerkingen
Maak inzichtelijk hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang hebben tot die gegevens.

4. Privacy impact assessment (PIA)
Maak een PIA, want volgens de AVG zijn bedrijven verplicht om vooraf de risico's van gegevensverwerking in kaart te brengen.

5. Privacy by design en privacy by default
Houd bij het ontwerpen van (nieuwe) producten en diensten rekening met de bescherming van privacygevoelige informatie. Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel.

6. Functionaris voor de gegevensbescherming
Stel een functionaris aan die zich specifiek richt op de verwerking van (persoons)gegevens. De AVG kan organisaties verplichten om zo’n functionaris aan te stellen. Het is voor organisaties raadzaam om nu al te inventariseren of dat wenselijk is en om dan alvast te starten met een wervingsprocedure.

7. Meldplicht datalekken
Herijk uw procedures voor het documenteren en melden van datalekken. Want in de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat de Autoriteit Persoonsgegevens dit kan controleren.

8. Bewerkersovereenkomsten
Zorg ervoor dat u een bewerkingsovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Heeft u al bewerkingsovereenkomsten dan is het verstandig om deze te controleren of ze nog voldoen aan de vereisten van de AVG.

9. Leidende toezichthouder
Bepaal uw leidende privacy toezichthouder. Als uw organisatie in meerdere EU-landen actief is, dan hoeft u maar met één privacy toezichthouder zaken te doen: de leidende toezichthouder. 

10. Toestemming
Evalueer de manier waarop u mensen toestemming vraagt voor het verwerken van hun persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. Want u moet later kunnen aantonen er geldige toestemming van mensen is gekregen.

Al deze aandachtspunten zijn nodig om goed voorbereid te zijn voor mei 2018. Er is dus veel werk aan de winkel om eerst alle data te classificeren en om daarna compliant te worden. Het grote voordeel daarvan is echter dat het een kans is om een soort van grote voorjaarsschoonmaak te houden, waarbij alle data en processen een grondige opfrisbeurt krijgen en toekomstklaar worden gemaakt. Tot slot mijn belangrijkste advies: wacht niet tot het voorjaar voor de schoonmaak, maar begin nu al met het treffen van voorbereidingen.

Bart Hoogenraad

Bart Hoogenraad is Portfolio Management directeur bij Unit4 VerzuimSignaal. Hij heeft meer dan 20 jaar ervaring met software as a service en portfolio management en gelooft sterk in de kracht van eenvoud, connectiviteit en data. Samen met het VerzuimSignaal-team streeft hij ernaar om Nederlandse werknemers veilig, gezond en inzetbaar te houden door het ontwikkelen van de beste software voor verzuimbegeleiding, verzuimpreventie en het stimuleren van duurzame inzetbaarheid.