Vergroot contrast

Voorbereiding op de AVG

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Organisaties die persoonsgegevens verwerken krijgen dan meer verplichtingen. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat vergt een gedegen voorbereiding.

Als organisatie kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG.

Voorbereid in 10 stappen

Om u op weg te helpen, heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen (pdf) voor u op een rijtje gezet. Dat zijn:

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protection impact assessment (DPIA)
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Bewerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

Guidelines

Daarnaast publiceert de AP samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

Nieuws

Alle nieuwsberichten over het onderwerp 'Voorbereiding op de AVG'

Alle antwoorden op mijn vragenAlgemene vragen over de voorbereiding op de AVG

  • Hoe helpt de AP mij bij de voorbereiding op de AVG?

    Iedere organisatie in de EU moet op 25 mei 2018 aan de nieuwe Europese privacywet voldoen. Ook u. De Autoriteit Persoonsgegevens (AP) helpt u op weg door voorlichting te geven over de Algemene verordening gegevensbescherming (AVG).

    De AP geeft u voorlichting over de AVG door:

    • het beantwoorden van veelgestelde vragen in het AVG-dossier op onze website;
    • het telefonisch beantwoorden van vragen;
    • het geven van presentaties aan brancheorganisaties en andere georganiseerde samenwerkingen. U kunt uw verzoek sturen naar uitnodigingen@autoriteitpersoonsgegevens.nl;
    • het beantwoorden van persvragen (reactief);
    • het geven van voorlichting via de pers (proactief);
    • een landelijke campagne die begin 2018 van start gaat.

    Met wat voor vragen kunt u bij ons terecht?

    U kunt ons vragen stellen over uw (nieuwe) verantwoordelijkheden onder de AVG. En over hoe u zich daar op voorbereidt. Ook kunt u bij ons terecht voor algemene informatie over de privacyregels. Wij leggen u dan uit wat er in de wet staat. 

    Waarmee kunnen wij u níet helpen?

    Wij geven als toezichthouder algemene antwoorden op uw vragen. Wilt u weten of u met een specifieke handeling of werkwijze aan de AVG voldoet? Dan kunt u het beste contact opnemen met bijvoorbeeld een adviesbureau, een bedrijfsjurist of een brancheorganisatie.

    Waarom kan de AP niet al mijn AVG-vragen beantwoorden?

    Soms kunnen wij uw AVG-vraag (nog) niet concreet beantwoorden. Dat komt omdat het om nieuwe wetgeving uit Europa gaat. In sommige gevallen werken de Europese privacytoezichthouders bijvoorbeeld nog aan guidance over een bepaalde regel uit de wet. Wanneer die guidance er is, dan brengen zij bijvoorbeeld nieuwe guidelines uit waarin dit is vastgelegd. Zodat alle landen dezelfde uitleg geven. Op onze website vindt u dan informatie over deze guidelines.

    Help ons onze voorlichting te verbeteren

    Uw vragen geven ons inzicht in de onderwerpen uit de AVG waarover nog veel behoefte aan informatie is. Dat helpt om onze voorlichting te verbeteren. Onder andere door de Q&A’s op onze website uit te breiden. Dus ook al kunnen wij soms uw vraag nog niet concreet beantwoorden, blijf ons vooral uw vragen stellen. Via de telefoon of tijdens bijeenkomsten.

  • Over welke onderwerpen geven de Europese privacytoezichthouders uitleg in guidelines?

    Om organisaties te helpen bij de voorbereiding op de Algemene verordening gegevensbescherming (AVG), publiceert de Autoriteit Persoonsgegevens (AP) samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG verduidelijken.

    De volgende guidelines zijn al beschikbaar in het Engels op de website van de Europese Commissie. In november 2017 verwachten we de officiële Nederlandse vertalingen.

    Definitieve guidelines

    Guidelines in consultatie

    Bij de meeste guidelines publiceren de privacytoezichthouders eerst een conceptversie. Deze versie staat een tijd open voor openbare consultatie. Daarna wordt de definitieve versie van de guidelines vastgesteld.

    De volgende guidelines zijn momenteel in consultatie:

    Verwachte guidelines

    Er volgen in de loop van 2017 nog guidelines over:

    • certificering;
    • toestemming;
    • transparantie;
    • internationaal gegevensverkeer.

Alle antwoorden op mijn vragenIn 10 stappen voorbereid op de AVG

  • Stap 1: Bewustwording

    Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.

    Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

    De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven, zoals guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.

    Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

  • Stap 2: Rechten van betrokkenen

    Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.

    Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

    Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

  • Stap 3: Overzicht verwerkingen

    Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

    Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht.

    U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

  • Stap 4: Data protection impact assessment (DPIA)

    Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

    U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

    Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start.

    Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

  • Stap 5: Privacy by design & privacy by default

    Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

    Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

    Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

    • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
    • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
    • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
  • Stap 6: Functionaris voor de gegevensbescherming

    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

  • Stap 7: Meldplicht datalekken

    De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.

    Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.

    De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Wanneer de guidelines definitief zijn, kunnen wij u volledig informeren over de meldplicht datalekken onder de AVG.  

  • Stap 8: Bewerkersovereenkomsten

    Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

  • Stap 9: Leidende toezichthouder

    Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

  • Stap 10: Toestemming

    Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

    Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden