Met de AVG wordt dezelfde privacywetgeving van kracht in de gehele Europese Unie (EU). Met de verantwoordingsplicht van de AVG moet u meer dan bij de Wbp aantonen dat u zich aan de wet houdt. U moet met documenten kunnen bewijzen dat uw organisatie de juiste organisatorische en technische maatregelen heeft getroffen om aan de AVG te voldoen.
Data protection impact assessment
Verder is een zogenoemde data protection impact assessment (DPIA) verplicht als er een hoog privacyrisico kan optreden bij uw gegevensverwerking. U inventariseert dan vooraf de privacyrisico’s van gegevensverwerking, waarna u maatregelen kunt nemen om de risico’s te verkleinen.
Gegevensbescherming
Daarnaast kan het nodig zijn dat u een functionaris voor de gegevensbescherming (FG) aanstelt. Deze FG is verplicht voor overheidsinstanties, publieke organisaties, organisaties met als kernactiviteit het grootschalig volgen van individuen en organisaties die als kernactiviteit grootschalig bijzondere persoonsgegevens verwerken. Ook als het niet verplicht is, kan het een aanrader zijn om een FG in uw organisatie te hebben. U heeft dan een verantwoordelijke en aanspreekpunt voor uw gegevensbescherming.
Wanneer persoonsgegevens onbedoeld in handen vallen van derden, kan er sprake zijn van een datalek. Een datalek kan worden veroorzaakt door een beveiligingsprobleem.
De meldplicht datalekken blijft daarom ook met de AVG gelden. U moet voortaan wel alle datalekken in uw organisatie documenteren.
Bewaren persoonsgegevens
De AVG kent dezelfde regels voor het bewaren van persoonsgegevens als de Wbp. Het bewaren mag niet langer duren dan noodzakelijk is voor het doel van uw gegevensverwerking. U moet vooraf bepalen hoe lang u persoonsgegevens opslaat. Lukt dit niet, dan moet u in elk geval criteria bepalen voor het vaststellen van de bewaartermijn. Medewerkers en anderen van wie u gegevens verwerkt, informeert u over de bewaartermijnen via bijvoorbeeld een privacyverklaring.
‘Design en default’
Let bij het ontwerpen van producten en diensten op een goede bescherming van persoonsgegevens (‘privacy by design’). Schenk er hierbij ook aandacht aan dat u niet meer gegevens verzamelt dan noodzakelijk is, en dat u ze niet langer bewaart dan nodig. Tref verder technische en organisatorische maatregelen om standaard alleen persoonsgegevens te verwerken die noodzakelijk zijn voor een specifiek doel (‘privacy by default’).
Strengere eisen toestemming
De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert en pas dit indien nodig aan. U moet kunnen aantonen dat mensen (inclusief uw eigen medewerkers) u geldige toestemming hebben verleend om hun persoonsgegevens te verwerken. Ook moet het net zo gemakkelijk zijn om toestemming in te trekken als om die te geven.
Registratie toegang persoonsgegevens
Daarnaast moet u ook onder de AVG registreren wie toegang had tot de persoonsgegevens die u verwerkt. Verder moet u betrokkenen, waaronder uw eigen personeel, nog steeds informeren wie hun gegevens heeft gezien als zij daarom vragen.
Niet alleen extra werk
De AVG leidt niet alleen tot extra werk. Zo hoeft u bijvoorbeeld de verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens. Ook kunt u modelbepalingen gebruiken voor het doorgeven van persoonsgegevens.
Regelhulp
Zorg ervoor dat uw verantwoordelijke medewerkers bekend zijn met de AVG. Inventariseer uw gegevensverwerking daarnaast goed, inclusief de doelen ervan en met wie u de gegevens deelt. Ga ook na of een eventuele uitbesteding van uw gegevensverwerking voldoet aan de AVG. Als hulp bij toepassing van de AVG kunt u de 'de AVG-Regelhulp' gebruiken.
Nog veel meer lezen over loonkostenvoordelen? Download dan het e-book Wegwijs in Arbeidsvoorwaarden