Algemene verordening gegevensbescherming (AVG)

Inmiddels zal het niemand meer ontgaan zijn: op 25 mei 2018 is de AVG van toepassing geworden. Sindsdien hebben bedrijven en organisaties een zogeheten verantwoordingsplicht. Zo moeten zij goed vastleggen welke persoonsgegevens zij verwerken, met welk doel, hoe lang zij die gegevens bewaren, dat zij de gegevens adequaat beveiligen en met wie de gegevens worden gedeeld. En een groot aantal organisaties is nu ook verplicht om een functionaris voor gegevensbescherming (FG) te benoemen. Deze dient de rol van interne toezichthouder te vervullen. Dit geldt onder meer voor overheidsinstellingen en zorginstellingen. Het externe toezicht wordt gehouden door de Autoriteit Persoonsgegevens.

Toezicht door de Autoriteit Persoonsgegevens (AP)

De AP heeft in haar berichten, zoals die van 25 mei 2018, duidelijk laten doorschemeren dat zij gaat inspelen op de veranderingen van de AVG. In lijn daarmee heeft de AP het afgelopen jaar een reorganisatie doorgemaakt. Sindsdien heeft de AP ook een nieuwe missie, een grotere omvang, een andere structuur en een vernieuwd toezichtkader. De AP geeft aan dat de focus ligt bij het controleren van de privacy-administraties van organisaties:

De focus in het toezicht op de naleving van de wetgeving ligt de komende jaren op de naleving van de verantwoordingsplicht door organisaties, door onderzoeken en voorlichting. Maar ook door te controleren of de organisaties die verplicht zijn een FG aan te stellen, zoals overheden en zorginstellingen, op 25 mei een FG hebben.

Ook geeft de AP aan dat ze gaat controleren op de aanwezigheid van een FG, wanneer die nodig is. Andere aandachtspunten van de AP blijven de beveiliging van medische gegevens, de niet gemelde datalekken en de handel in persoonsgegevens.

Concreet te nemen stappen

De aankondiging van de AP betekent dat zij een actieve toezichthouder zal zijn. Dit vereist het nemen van een aantal concrete stappen door organisaties:

  1. Controleer de aanwezigheid en status van de privacy-administratie (waaronder het verplichte register voor verwerkingsactiviteiten);
  2. Check de aanwezigheid en status van een datalekkenprotocol en een intern datalekkenregister;
  3. Ga na of uw organisatie een FG dient aan te stellen en – ook belangrijk – of deze al is aangemeld bij de AP.

NORD Advocaten helpt u graag orde op zaken te stellen en privacy compliance te bereiken. Mocht de AP op de stoep staan, dan kan uw organisatie met de privacy-administratie in ieder geval voldoen aan de controle van de verantwoordingsplicht. Bel één van onze specialisten voor een vrijblijvende afspraak.

Toezicht
Geplaatst op 21 augustus 2018 door Koen Konings