Stappenplan bereidt organisaties voor op invoering AVG

De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar waarmee organisaties zich kunnen voorbereiden op de invoering van de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe Europese privacywetgeving gaat de Nederlandse Wet bescherming persoonsgegevens (Wbp) vanaf 25 mei 2018 vervangen.

Het is voor organisaties van groot belang te voldoen aan de eisen van de AVG, aangezien overtredingen van deze wet kunnen worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De nieuwe wet is bedoeld om de privacyrechten van mensen uit te breiden en te versterken. Daarnaast legt de wet bedrijven die persoonsgegevens verwerken meer verplichtingen op.

Tien stappen
Het stappenplan bevat tien stappen die organisaties kunnen doorlopen om zich voor te bereiden op de nieuwe privacywet. Stap 1 heeft betrekking op het creëren van bewustzijn binnen de organisatie over de inhoud van de nieuwe regels en de impact hiervan op menskracht en middelen. Stap 2 wijst op de rechten van betrokkenen. Organisaties zijn namelijk verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan het recht op inzage en verwijdering van gegevens, maar ook aan het recht op dataportabiliteit. Dit laatste recht geeft gebruikers het recht persoonsgegevens die een bedrijf over hen heeft verzameld op te vragen en deze door te geven aan een andere organisatie.

In sommige gevallen zijn bedrijven verplicht een privacy impact assessment (PIA) uit te voeren. Dit is een instrument waarmee vooraf de privacyrisico’s van een gegevensverwerking in kaart kunnen worden gebracht. Hierdoor kunnen maatregelen worden genomen om deze risico’s te verkleinen. Een PIA is verplicht indien een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor mensen waarvan de organisatie gegevens verwerkt. Dit is in ieder geval zo indien een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Richtlijnen
Om het voor bedrijven duidelijker te maken wanneer zij wel of juist niet een PIA moeten uitvoeren hebben de Europese privacytoezichthouders hiervoor richtlijnen met criteria opgesteld. Deze zijn gebaseerd op input van stakeholders. Tot 23 mei 2017 is het mogelijk feedback op deze richtlijnen in het Engels te mailen naar JUST-ARTICLE29WP-SEC@ec.europa.eu en presidenceg29@cnil.fr. Nederlandse bedrijven kunnen daarnaast ook feedback insturen of vragen stellen over het proces aan de Autoriteit Persoonsgegevens via guidelines@autoriteitpersoonsgegevens.nl of via 070 – 8888 500.

Op termijn publiceert de AP een lijst van verwerkingen waarvoor een PIA verplicht is.