Privacy en de AVG

Invoering van de AVG

Vanaf 25 mei 2018 moeten alle organisaties aan de Algemene Verordening Gegevensbescherming (AVP) voldoen.

Ten opzichte van de voorganger, de Wbp, zijn zowel de rechten van betrokkenen als de plichten van verwerkingsverantwoordelijken flink toegenomen.

Een belangrijke aanscherping is dat de verwerkingsverantwoordelijke nu voortdurend moet kunnen aantonen aan de AVG te voldoen.

Bescherming van persoonsgegevens heeft iedere vrijblijvendheid verloren, u moet er continu aan voldoen, moet dit kunnen aantonen en u moet iedere inbreuk met risico voor de betrokkene melden aan de Autoriteit Persoonsgegevens (AP). De AP beschikt over een ruim assortiment aan bevoegdheden om in te grijpen, waaronder die tot het opleggen van zeer forse boetes.

Onderaan deze pagina vindt u de aanleiding voor de ontwikkeling van de AVG binnen de EU.

Kernelementen van de AVG:
  • Gebaseerd op principes
  • Verantwoordingsplicht
  • Wettelijke grondslag nodig voor verwerking
  • Privacy by Design and by Default
  • Rechten van de betrokkene
  • Plichten van de verwerkingsverantwoordelijke en de verwerker
  • Register van verwerkingsactiviteiten
  • Beveiliging van de verwerking
  • Meldingsplicht inbreuken op AVG (datalekken)
  • Privacy Impact Analyse
  • Functionaris voor de Gegevensverwerking
  • Overdracht persoonsgegevens naar buiten de EU
  • Autoriteit Persoonsgegevens
  • Sancties

Mijn achtergrond als consultant

Reeds lange tijd ben ik geboeid door vraagstukken op het gebied van Compliance, het vakgebied dat zich bezig houdt met de vraag op welke wijze organisaties op de beste wijze kunnen voldoen de wet- en regelgeving.

Dit heeft ertoe geleid dat ik mij in de afgelopen periode grondig heb verdiept in de ontwikkelingen in privacy-wetgeving. Ik heb hiervoor in maart 2018 het wereldwijd toegepaste CIPP/E certificaat behaald.

Gecombineerd met mijn jarenlange ervaring als manager en consultant stelt deze kennis mij in staat om organisaties gericht te ondersteunen met de (verdere) invoering van de vereisten van de AVG.

Ik kan onder andere het volgende bieden:

  • Overdragen van Relevante kennis over de AVG aan de verantwoordelijke(n) voor de invoering van de AVG
  • Verzorgen van bewustzijnstrainingen voor personeel
  • Adviseren over de aanpak die het beste past bij uw organisatie
  • Helpen met implementatie-activiteiten, desgewenst inclusief het vervullen van de rol van projectmanager
  • Vervullen van de rol van Functionaris voor de Gegevensverwerking, tijdelijk of voor langere tijd

Aanpak

Het is mijn doel u te helpen om uw organisatie zo snel mogelijk in overeenstemming met de AVG te brengen.

Organisaties verschillen sterk in omvang, branche (B2B of B2C), ambitieniveau t.a.v. invoering van de AVG en professionele achtergrond. Daarom maak ik in overleg met uw wensen een aanpak op maat.

Onder het kopje “Activiteitenoverzicht implementatie AVG” hieronder, geef ik aantal activiteiten dat binnen uw organisatie uitgevoerd of tenminste goed doordacht moeten worden.

Samen bepalen we per activiteit hoe we deze gaan aanpakken, voor welke u zelf de capaciteit heeft om deze uit te voeren en waar u ondersteuning wenst. Hierop maken we een planning en een budget.

Activiteitenoverzicht implementatie AVG

Hieronder vindt u de activiteiten die nodig zijn om uw organisatie aan te passen aan de eisen van de AVG. Een aantal hiervan komen terug in het 10-stappenplan van de AP. Echter hierin komen enkele belangrijke activiteiten niet duidelijk terug. Diverse activiteiten kunnen parallel worden uitgevoerd.

  1. Neem een directiebesluit om de AVG in te voeren
  2. Start een bewustzijnscampagne onder het personeel
  3. Vorm beleid omtrent de invoering AVG en permanente naleving ervan
  4. Stel het register van verwerkingsactiviteiten op
  5. Ontwerp en implementeer processen voor alle rechten van betrokkenen
  6. Toets alle uitbestedingen van gegevensverwerking aan uw verwerkers
  7. Ga na waar u zelf eventueel bewerker bent en check of u voldoet aan de regels
  8. Als u gegevens overdraag naar buiten de EU: gebeurt dit conform de AVP?
  9. Ontwerp en implementeer processen voor de voortdurende veilige verwerking
  10. Ga na of u Privacy Impact Analyses moet of wilt uitvoeren
  11. Ga na op welke wijze u Privacy by Design en Privacy by Default wilt invoeren
  12. Ga na of u een Functionaris voor de Gegevensverwerking moet of wilt benoemen
  13. Bepaal op welke wijze invulling gaat geven aan de registratie- en meldplicht inbreuken (datalekken)
  14. Behoort u tot een organisatie met diverse vestigingen in de EU: kies een Leidende AP

Zoals u kunt zien betekent dit nogal wat.

De grootste uitdaging zal uiteindelijk niet het verwerven van de benodigde kennis zijn, al bevat de AVG uitgebreide en gedetailleerde voorschriften.

De echte uitdaging zit in het invoeren van de voorschriften en het zorgen voor en kunnen aantonen van de permanente werking. Bij een aantal activiteiten, zoals nummer 9, maatregelen die de veiligheid van de gegevensverwerking waarborgen, mag u een passende balans zoeken tussen risico’s voor de gegevensverwerking versus kosten van implementatie. Bij veel belangrijke activiteiten bestaat er echter geen kosten-baten afweging: u moet b.v. aan alle rechten van betrokkenen voldoen en u bent verantwoordelijk voor de gegevensverwerking van de door u ingeschakelde verwerkers.

Voor veel organisaties betekent dit fundamenteel anders werken door alle medewerkers en het voortdurend controleren of dit ook gebeurt.

Tenslotte wil ik hier nog het belang van goede en actuele documentatie benadrukken. De AVG zet zwaar in op documentatie en sommige registraties zijn regelrecht verplicht. Mocht de AP om welke reden dan ook een onderzoek bij u gaan uitvoeren, dan ligt voor de hand dat zij beginnen met het opvragen van documentatie. Het helpt u echt als deze direct beschikbaar en actueel is.

Aanleiding voor de AVG

Het recht op bescherming van persoonsgegevens is een fundamenteel recht voor ieder natuurlijk persoon. Het recht is diep verankerd in de mensenrechten, zoals de Universele Verklaring van de Rechten van de Mens. Het is in 2012 specifiek opgenomen in het Verdrag Betreffende de Werking van de Europese Unie (EU).

In de afgelopen decennia zijn door de voortschrijding van geautomatiseerde gegevensverwerking steeds meer mogelijkheden ontstaan om persoonsgegevens te verzamelen, te combineren en te interpreteren. Dit bracht uitdagingen met zich mee t.a.v. de bescherming van het recht op privacy.

De EU heeft dit risico al jaren geleden onderkend. Reeds in 1981 heeft de Raad van Europa de zogenaamde Convention 108 aangenomen, waarin voor het eerst een juridisch bindend internationaal instrument op gebied van gegevensbescherming is ontwikkeld.

Vervolgens werd in 1995 de Europese Richtlijn Gegevensbescherming aangenomen. Overal in de EU werd deze in de nationale wetgevingen verwerkt, in Nederland gebeurde dit in de Wet Bescherming Persoonsgegevens (Wbp).

Het instrument Richtlijn brengt met zich mee dat lidstaten de inhoud ervan zelf in hun eigen wetgeving moeten opnemen. Dit leidt tot een zekere harmonisatie, maar in de praktijk bleek het niveau van bescherming van persoonsgegevens binnen de EU toch aanzienlijk te verschillen.

Daarom is nu besloten om de EU privacy wetgeving vorm te geven als een Verordening, die rechtstreekse werking heeft binnen alle lidstaten. De Nederlandse naam van de privacy-verordening is de Algemene Verordening Gegevensbescherming (AVG). Ook de Engelse naam en vooral afkorting worden veelvuldig gebruikt, General Data Protection Regulation, ofwel GDPR.

 Terug naar boven