Grote veranderingen op komst met de nieuwe privacywet

Artikel door Theo Kusters, Privacy Collectief Venlo.

AVG/GDPR Sedert mei 2016 is een Europese verordening van kracht die van enorme invloed is op alle organisaties die persoonsgegevens verwerken. In Nederland heet die regeling de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd of in de wandeling gewoon “de privacywet”. Die verordening, met een directe en uniforme werking in alle EU -lidstaten, stelt hoge eisen aan de technische en organisatorische maatregelen om adequate bescherming van persoonsgegevens te garanderen.

Wetenswaardig is dat straks de mogelijkheid voor individuen bestaat om laagdrempelig schadeclaims in te dienen bij organisaties die het met de bescherming van de persoonsgegevens in hun systemen niet zo nauw nemen. De AVG gaat voor een belangrijk deel over rechten van betrokkenen en plichten voor organisaties, dus neem dan maar van mij aan dat zulke schadeclaims regelmatig zullen worden ingesteld en toegekend.

De Autoriteit Persoonsgegevens (AP), voorheen “College Bescherming Persoonsgegevens”, gaat vanaf 25 mei 2018 die wet naar het zich laat aanzien streng handhaven. De AP heeft handhavingsbevoegdheden die overeenkomen met die van de Autoriteit Financiële Markt (AFM) en veel lezers zullen beseffen wat dat betekent. Oppassen geblazen dus en, mocht je nog niet begonnen zijn, hoogste tijd om kennis te nemen van de verordening en in actie te komen.

Maatregelen die elk bedrijf moet nemen Tot de maatregelen die je moet nemen behoren o.a. • het opstellen van een datalekprotocol, zodat iedereen in jouw organisatie weet wat hij of zij moet doen als er een inbreuk plaats heeft gevonden. Onderdeel daarvan is een meldplicht voor sommige datalekken; • het maken van een privacyverklaring zodat jouw klanten en andere betrokkenen weten hoe jouw bedrijf omgaat met hun gegevens en wat hun rechten zijn; • het opstellen en onderhouden van een verwerkingenregister. Verwerkingenregister Omdat in de AVG sprake is van omgekeerde bewijslast, ga ik op dit aspect wat dieper in.

Omgekeerde bewijslast komt in Nederland niet zo vaak voor. Het geeft aan dat de overheid de bescherming van persoonsgegevens heel serieus neemt en dat ook van jou als verantwoordelijke voor de verwerking verlangt. Jij hebt voor die omgekeerde bewijslast een register nodig, waarin je vermeldt en bijwerkt welke categorieën persoonsgegevens jij verwerkt, met welk doel en op welke rechtsgrond jij dat doet. Daarnaast moet je vermelden met welke externe verwerkers jij zaken doet (bijv. accountant en salarisverwerker) en welke maatregelen je neemt om te zorgen voor adequate beveiliging.

Bovenal zal je daar de bewijsvoering bij moeten kunnen overleggen. Dat is een hoeveelheid werk die nogal eens onderschat wordt, omdat elke soort verwerking die je doet separaat geregistreerd moet worden. Een goed startpunt om hier inzicht in te krijgen, is het maken van een stroomdiagram (flowchart) waarin je de informatiestromen van begin tot einde in kaart brengt. Een zinvolle exercitie overigens, want niet zelden komt nogal wat ingeslopen inefficiëntie daardoor aan het licht. In het kader van de AVG is het echter bedoeld om zwakke en/of risicovolle plekken in de informatiestroom te ontdekken en vervolgens gericht jouw beveiligingsmaatregelen aan te scherpen. Begin er tijdig mee is het advies en laat je adviseren over methodes en beschikbare software.