Leestijd: 4 minuten
AVG of GDPR is al in werking
In mei 2016 trad de definitieve tekst van de Algemene Verordening Gegevensbescherming (AVG of – in het Engels – GDPR) in werking. Bepaald werd (in artikel 99 AVG) dat op 25 mei 2018 de AVG ook daadwerkelijk van toepassing zal zijn. Vanaf dat moment wordt onze Wet bescherming persoonsgegevens (Wbp) definitief vervangen door de AVG. De Europese bedrijven en organisaties hebben daarmee dus twee jaar de tijd gekregen om hun bedrijfsvoering aan te passen op de strengere regelgeving. Er kon dus tijdig worden begonnen met het in kaart brengen van de verwerkingsactiviteiten van persoonsgegevens voor vastlegging in de verplichte privacy-administratie en in het register van verwerkingsactiviteiten.
De eerste stappen naar compliance aan de AVG
Toch blijken in de praktijk de meeste bedrijven en organisaties hun stappen op dit vlak met grote regelmaat te hebben uitgesteld tot het allerlaatste moment. Stel dat u nu wakker schrikt. Wat zijn nu de eerste stappen die gezet moeten worden? De toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, geeft op haar blog een aantal handige beginpunten, zoals bewustwording, rechten van betrokkenen en een overzicht van verwerkingen maken. Veel houvast biedt dat ondernemers niet.
Privacy statements en verwerkersovereenkomsten
Bij de weg naar privacy compliance gaat de meeste aandacht van bedrijven en organisaties uit naar de uiterlijke verschijningsvormen van de privacyregels, zoals privacy statements of verwerkersovereenkomsten. Misschien is dat wel logisch, omdat dat een commercieel effect heeft (of omdat de contractuele wederpartij daarom vraagt), maar onze ervaring leert dat het beter is om intern te beginnen met het optuigen van de wettelijk verplichte privacy-administratie.
Verwerkingen van persoonsgegevens
Onze ervaring leert ook dat het efficiënt en logisch is om te beginnen met het in kaart brengen van alle verwerkingen die een organisatie doet met persoonsgegevens. Zowel het begrip ‘verwerken’ (artikel 4 sub 2 AVG) als ‘persoonsgegevens’ (artikel 4 lid 1 AVG) zijn zeer ruime begrippen. Eigenlijk valt alles wat een bedrijf of organisatie doet met gegevens die gaan over een geïdentificeerd of identificeerbaar natuurlijk persoon (een levend mens) al onder die combinatie van begrippen. Dat betekent dat de AVG van toepassing is, maar ook dat de verwerkingsactiviteiten in kaart moeten worden gebracht.
Privacy-administratie en register voor verwerkingsactiviteiten
De AVG vraagt aan alle bedrijven en organisaties die binnen de Europese Unie zijn gevestigd zich:
- te houden aan de beginselen en regels van de AVG (artikel 5 lid 1 AVG); en
- de naleving van die regels aantoonbaar te maken (artikel 5 lid 2 AVG) en hun verwerkingsactiviteiten in kaart te brengen met een register voor verwerkingsactiviteiten (artikel 30 AVG).
Vanuit het in kaart brengen van de verwerkingsactiviteiten komt het bedrijf er al snel achter waar de pijnpunten liggen, zoals het ontbreken van een verwerkingsovereenkomst of van passende beveiligingsmaatregelen. Ook draagt het meteen bij aan de bewustwording. Gebruik vervolgens bij het daadwerkelijke registreren van de verwerkingsactiviteiten een format dat voldoet aan alle eisen die de AVG eraan stelt.
Ook biedt het verkregen inzicht bij het vullen van een register de bouwstenen voor een privacyverklaring.
Handige oplossing om te voldoen aan de AVG
NORD Advocaten biedt met haar Privacy-Administratie aan bedrijven en organisaties praktische handvatten voor een snelle weg naar privacy compliance. Het bestaat uit onder meer een workshop, een naslagwerk, een modeladministratie en een datalekkenprotocol. Neem contact op met NORD Advocaten voor meer informatie.