Voldoen aan de AVG (compliance)
Afhankelijk van het type organisatie, de soort persoonsgegevens die worden verwerkt, de mate waarin persoonsgegevens worden verwerkt en de wijze van verwerking van persoonsgegevens, moeten organisaties voldoen aan diverse in de AVG genoemde verplichtingen. Hieronder volgen enkele van die verplichtingen.
Verwerkingsregister
In een verwerkingsregister zijn alle verwerkingen in kaart gebracht, met daarbij onder meer de categorieën persoonsgegevens die worden verwerkt, de verwerkingsdoelen, de gebruikte grondslagen en de gehanteerde bewaartermijnen. Een uitzondering daargelaten moet iedere organisatie een verwerkingsregister hebben en bijhouden. De Autoriteit Persoonsgegevens kan dit register opvragen en inzien.
Verwerkersovereenkomst
Indien een organisatie gebruik maakt van een verwerker, dan moeten de afspraken met die verwerker worden vastgelegd in een verwerkersovereenkomst. De AVG geeft een opsomming van de minimale onderwerpen die in die verwerkersovereenkomst aan bod moeten komen, maar verder zijn partijen vrij in de invulling daarvan. Het is dus zaak om daar kritisch naar te kijken, zeker omdat een verwerker gegevens verwerkt onder verantwoordelijkheid van de organisatie die de verwerker heeft ingeschakeld. Aangezien verwerkers onder de AVG meer verplichtingen hebben dan voorheen, is het voor verwerkers ook van belang om een goede verwerkersovereenkomst te hebben met hun opdrachtgevers.
Privacy statement
De AVG schrijft voor dat iedere organisatie betrokkenen over diverse onderwerpen moet informeren. Het is gebruikelijk om die verplichting na te komen door middel van het publiceren of overleggen van een privacy statement/privacyverklaring/privacy memorandum. Daarin is onder meer opgenomen op welke wijze de organisatie persoonsgegevens verwerkt en wat de rechten van betrokkenen zijn in dit verband. Ook de doorgifte van persoonsgegevens naar het buitenland kan daarin worden opgenomen. Voor het personeel kan deze informatie bijvoorbeeld ook in een personeelshandboek worden opgenomen.
Privacy policy
Niet als zodanig verplicht, maar wel noodzakelijk om diverse verplichtingen uit de AVG te kunnen naleven is het hebben van een privacy policy/privacy beleid. In dit (interne) beleidsstuk beschrijft de organisatie hoe praktisch en organisatorisch wordt omgegaan met persoonsgegevens binnen de organisatie, hoe de beveiliging is geregeld (technisch en organisatorisch) en hoe wordt omgegaan met verzoeken van betrokkenen en datalekken. Desgewenst kan daarbij worden verwezen naar andere documenten.
Data protection impact assessment (‘DPIA’)
Sommige organisaties moeten een DPIA laten uitvoeren voor bepaalde soorten verwerkingen van persoonsgegevens. Met een DPIA kunnen vooraf bepaalde privacyrisico’s in kaart worden gebracht, waarna vervolgens maatregelen kunnen worden genomen om die risico’s te verminderen. Een DPIA is onder meer verplicht bij een grootschalige verwerking van bijzondere persoonsgegevens (bijvoorbeeld medische gegevens) of bij het systematisch en uitgebreid beoordelen van persoonlijke aspecten van betrokkenen (zoals bij profiling). De Autoriteit Persoonsgegevens heeft een lijst opgesteld met verwerkingen waarvoor een DPIA verplicht is.
Functionaris gegevensbescherming (‘FG’)
In bepaalde gevallen moeten organisaties een FG instellen. Deze persoon ziet intern toe op de naleving van de AVG, informeert en adviseert over de AVG, werkt indien nodig samen met de Autoriteit Persoonsgegevens en heeft daarbij een speciale (arbeidsrechtelijke) positie binnen de organisatie. Onder meer overheidsinstanties zijn verplicht om een FG in te stellen. Datzelfde geldt voor organisaties die grootschalig bijzondere persoonsgegevens verwerken of voor organisaties die op grote schaal regelmatig en stelselmatig betrokkenen observeren (bijvoorbeeld door middel van cameratoezicht of via apps of wearables).
Incidentenregister
Iedere organisatie moet de inbreuken op persoonsgegevens vastleggen, ongeacht of dit een datalek is dat moet worden gemeld bij de Autoriteit Persoonsgegevens en/of kenbaar moet worden gemaakt aan de betreffende betrokkenen. Deze verplichting kan bijvoorbeeld worden nagekomen door een incidentenregister aan te leggen. Desgewenst kan de Autoriteit Persoonsgegevens dit document/register inzien en controleren of de verplichting om datalekken te melden/kenbaar te maken is nagekomen. Daarnaast is dit document ook een handig hulpmiddel om trends te ontdekken en datalekken te voorkomen.
Beveiliging
Zowel de verantwoordelijke als de verwerker moeten er voor zorgen dat de door hen verwerkte persoonsgegevens zowel technisch als organisatorisch passend beveiligd zijn. Wat een passende beveiliging is, hangt van de specifieke verwerking en de daaraan verbonden risico’s af. Deze beveiliging moet steeds voldoen aan de ‘stand van de techniek’, zodat de beveiliging steeds up-to-date kan worden gehouden. Daarnaast spelen ook de uitvoeringskosten, de aard, de omvang, de context en de doeleinden van de verwerking een belangrijke rol in het niveau van de beveiliging. Dit ziet niet alleen op de technische beveiliging, maar ook op de interne organisatie van de verantwoordelijke of verwerker. Denk daarbij aan toegang tot persoonsgegevens, wachtwoordbeheer en gebruiksvoorschriften. De AVG noemt als voorbeelden van beveiliging onder meer versleuteling, geheimhouding en het maken van een back-up en een beveiligingsbeleid.
Datalekprotocol
Een datalek moet door iedere verantwoordelijke binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens en afhankelijk van de aard van het datalek ook zo snel mogelijk aan de betreffende betrokkenen kenbaar worden gemaakt. Indien die verplichting niet (tijdig) wordt nagekomen, kan de Autoriteit Persoonsgegevens een boete opleggen. Dit is onder meer gebeurd bij een niet tijdig gemeld datalek bij Uber. Om dit te voorkomen is het nodig dat alle incidenten in verband met persoonsgegevens tijdig en bij de juiste persoon kenbaar worden gemaakt en dat alle betrokken personen weten hoe hier vervolgens mee om te gaan. Deze werkwijze kan worden vastgelegd in een datalekprotocol.
Andere regelgeving
Daarnaast worden ook in andere regelgeving privacygerelateerde verplichtingen opgelegd aan organisaties. Een voorbeeld daarvan is de regelgeving omtrent direct marketing via e-mail onder de Telecommunicatiewet.
