Tien punten om u op weg te helpen met AVG (GDPR)

Tien punten om u op weg te helpen met AVG (GDPR)

Het is belangrijk om goed voorbereid te zijn. Bereid u voor op de introductie van de Algemene Verordening Gegevensbescherming van de EU (GDPR). We geven u tien tips die u zullen helpen om te beginnen.

De Algemene Verordening Gegevensbescherming van de EU heeft gevolgen voor veel bedrijven in Europa. Bent u klaar voor de veranderingen?

In mei 2016 heeft de EU een Algemene Verordening Gegevensbescherming uitgegeven. De nieuwe regels gaan van kracht worden op 25 mei 2018, na een overgangsperiode van twee jaar, de verordening nieuwe operationele vereisten zal introduceren voor bedrijven die met persoonlijke gegevens omgaan.

Omdat de definitie van "persoonlijke gegevens" zo breed is, vallen bijna alle bedrijven daadwerkelijk onder hun jurisdictie. We hebben tien punten verzameld die u helpen om vandaag al aan de slag te gaan.

  1. Laat zien dat u de voorschriften opvolgt

De nieuwe verordening vereist dat de houder van het register voor persoonlijke gegevens kan aantonen dat hij op de vereiste manier met persoonsgegevens omgaat.

In de praktijk betekent dit dat u een register moet bijhouden van de gegevensverwerkingshandelingen die onder uw verantwoordelijkheid vallen om te bewijzen dat ze in overeenstemming zijn met de voorschriften.

  1. Zorg ervoor dat u toestemming hebt

Als de verwerking van persoonlijke gegevens is gebaseerd op de toestemming van een persoon, moet u kunnen aantonen dat dergelijke toestemming is gegeven.

Bovendien zullen de vereisten voor toestemming in de toekomst strenger worden:

Toestemming moet duidelijk worden gegeven in een schriftelijke, elektronische of mondelinge verklaring. De toestemming moet aantonen dat de persoon vrijwillig, zelf, bewust en expliciet de wens heeft uitgesproken dat hij het gebruik van zijn persoonlijke gegevens aanvaardt. Meestal zou dat zijn door op een selectievakje te klikken om toestemming te geven.

  1. Het recht om vergeten te worden

Een nieuw onderwerp dat met de verordening zal worden geïntroduceerd, is het recht van de geregistreerde persoon om vergeten te kunnen worden. In de praktijk betekent dit het recht om hun gegevens uit uw databases te verwijderen.

Dit soort situaties kan zich voordoen wanneer de persoon de eerder verstrekte toestemming intrekt om hun persoonlijke gegevens te gebruiken. Als het gebruik van persoonlijke gegevens echter op een andere wettelijke basis berust, is er geen verplichting om de gegevens te verwijderen.

Als u verplicht bent om gegevens te verwijderen, moet u alle entiteiten die de gegevens hebben ontvangen of gepubliceerd, op de hoogte brengen. Dit is om ervoor te zorgen dat alle links, duplicaten en kopieën met betrekking tot het materiaal ook worden verwijderd.

  1. Behoud het recht om gegevens te verplaatsen

Momenteel heeft iedereen het recht om zijn eigen gegevens in een leesbaar formaat te ontvangen en over te dragen aan een andere registerhouder.

Dit recht is ook van toepassing op persoonlijke gegevens die een persoon aan u heeft verstrekt via toestemming of een overeenkomst. Deze verplichting verplicht u echter niet om gegevensverwerkingssystemen goed te keuren of te onderhouden die technisch compatibel zijn.

  1. Verbod op profilering kan gevolgen hebben voor u

Als persoon heeft iedereen het recht om geen onderwerp van beslissing te worden op basis van automatische gegevensverwerking die een juridisch of anderszins significant effect op hen zou hebben. Met andere woorden, dit betekent dat u geen belangrijke beslissing kunt nemen die een persoon beïnvloedt op basis van een automatisch gegevensproces.

Een uitzondering op dit "profileringsverbod" zou zijn wanneer de beslissing noodzakelijk is voor het voltooien van een contract tussen een persoon en uw bedrijf. U moet ervoor zorgen dat uw profilerings- en besluitvormingsmodellen voldoen aan de wet en eventuele noodzakelijke wijzigingen hiervoor doorvoeren.

Een veel voorkomend voorbeeld van een uitzondering op profileren is het nemen van kredietbeslissingen. Die beslissingen zijn vaak gebaseerd op geautomatiseerde classificatiesystemen en besluitaanbevelingen.

  1. Informeer over inbreuken in uw gegevensbeveiliging

In de toekomst bent u verplicht om de autoriteiten en geregistreerde personen op de hoogte te stellen wanneer er inbreuken op de gegevensbeveiliging zijn. Dit omvat situaties waarin de rechten en vrijheden van een persoon worden geschonden. In het geval dat deze situaties zich voordoen, zijn er een aantal activiteiten die u moet overnemen:

  • U moet de autoriteiten binnen 72 uur na de inbreuk op de hoogte brengen;
  • U moet alle getroffen personen op de hoogte brengen van de inbreuk.

Om aan deze verplichtingen te voldoen, is het belangrijk dat u interne instructies en procedures opstelt om een ​​efficiënt en correct proces te garanderen.

  1. Informeer over uw gegevensproces

Bedrijven over de hele wereld verzamelen nu meer persoonlijke gegevens dan ooit tevoren. Om in de toekomst aan de EU-verordening te voldoen, moet u meer informatie geven over de gegevensverwerking.

Wat dit voor u betekent, is dat u de bewaartermijn voor persoonlijke gegevens moet aangeven. Of, als dat niet mogelijk is, moet u informeren welke criteria worden gebruikt om de bewaartermijn te bepalen.

In de praktijk betekent dit bijvoorbeeld het bijwerken van de register- en gegevensbeveiligingsdocumenten, evenals het nadenken over de manier waarop het informeren van de geregistreerde mensen in de praktijk zal worden uitgevoerd.

  1. De rol van de nieuwe functionaris voor gegevensbescherming

Met de toenemende aandacht voor gegevensbescherming, moet u mogelijk een functionaris voor gegevensbescherming benoemen om met persoonlijke gegevens om te gaan. Organisaties die een functionaris voor gegevensbescherming nodig hebben, zijn bijvoorbeeld bedrijven met een brede, regelmatige en systematische monitoring van mensen, of hun kernactiviteiten bestaan ​​uit dergelijke monitoring. Met dit in het achterhoofd raden wij u aan om te evalueren of de vereiste voor een functionaris voor gegevensbescherming op u van toepassing is of niet.

  1. Voor de uitbesteding van de verwerking van persoonlijke gegevens zijn beschermende maatregelen van u vereist

Als u een deel van het gegevensproces hebt uitbesteed aan een andere entiteit en zij persoonlijke gegevens namens u verwerken, zijn er een paar dingen die u moet doen:

  • U moet ervoor zorgen dat adequate technische en organisatorische beschermingsmaatregelen voldoen aan de vereisten van regelgeving;
  • U moet ervoor zorgen dat de rechten van geregistreerde mensen worden beschermd.

In de praktijk betekent dit dat u de situaties moet identificeren waarin uitbesteding gepast is en ervoor moet zorgen dat alle contracten correct worden opgesteld. De opslag van gegevens in cloudservices wordt bijvoorbeeld beschouwd als outsourcing, hoewel de serviceprovider de gegevens niet actief verwerkt.

  1. Overtredingen kunnen een zware boete opleveren

Het is ook belangrijk te weten dat u naast een waarschuwing een forse boete krijgt wegens overtreding van de verordening gegevensbescherming. De boete kan oplopen tot maximaal 20 miljoen euro of 4 procent van de totale omzet van uw bedrijf.