In deze eerste blogpost van de reeks behandelen we de 10 grootste en belangrijkste veranderingen van de privacyverordening die betrekking hebben op de verantwoordelijke van een verwerking van persoonsgegevens. De verantwoordelijke is de persoon in de organisatie die het doel en de middelen van de verwerking(en) bepaalt. Dit houdt in dat hij/zij het hoe en waarom van een verwerking bepaalt.
We hebben de 10 veranderingen/verplichtingen die van belang zijn voor je op een rijtje gezet:
Organisaties zijn verplicht om een register bij te houden van alle verwerkingsactiviteiten met betrekking tot persoonsgegevens. Dit register moet bestaan uit de volgende punten:
Tip: begin op tijd met het in kaart brengen van alle verwerkingsactiviteiten zodat alle informatie op tijd in het register is opgenomen.
In een organisatie waar persoonsgegevens worden verwerkt moeten interne beleidsmaatregelen worden genomen. Een privacybeleid legt bijvoorbeeld uit hoe werknemers met persoonsgegevens om moeten gaan en welke maatregelen getroffen worden om toe te zien op het correct naleven van de privacyverordening.
Tip: stel een privacybeleid op en zorg dat je werknemers op de hoogte zijn van de inhoud.
Organisaties zijn verplicht om bij risicovolle verwerkingen een PIA uit te voeren. Of een verwerking risicovol is bepaal je door te kijken naar de aard, de omvang, de context en de doeleinden ervan. Bij grootschalige verwerkingen van bijzondere gegevens is een PIA bijvoorbeeld verplicht. In een PIA wordt de betreffende verwerking systematisch beschreven en de doeleinden worden uitgelegd. Dit assessment bevat ook een overzicht van voorgenomen maatregelen om de risico’s van de verwerking te beperken.
Tip: ga na of er binnen de organisatie verwerkingen plaatsvinden met een hoog risico en bepaal of een PIA op z’n plaats is.
Nieuw voor de verantwoordelijke onder de verordening zijn:
Tip: kijk of het mogelijk is of een bepaalde verwerking tijdelijk gestopt kan worden. Dit kan bijvoorbeeld door de betreffende gegevens tijdelijk ergens anders op te slaan.
Ook met betrekking tot de bewerkersovereenkomst gaan er dingen veranderen. De nieuwe verordening omschrijft namelijk veel gedetailleerder waar een bewerkersovereenkomst aan moet voldoen. Houd onze blogpagina in de gaten voor de blogpost over de bewerker, degene die gegevens verwerkt voor de verantwoordelijke, en de bewerkersovereenkomst.
Tip: loop alle bestaande bewerkersovereenkomsten na en kijk of deze nog voldoen aan alle eisen.
Privacy by design houdt in dat bij het ontwikkelen van nieuwe producten of diensten al rekening wordt gehouden met privacy. Denk aan: dataminimalisatie, pseudonimisatie van persoonsgegevens en betrokkenen de mogelijkheden te geven om makkelijk hun gegevens in te kunnen zien en te veranderen. Privacy by default betekent dat de standaard privacyinstellingen zo gunstig mogelijk zijn ingesteld voor de gebruikers.
Tip: denk tijdens het ontwerp- en ontwikkelingsproces van systemen en processen al na over privacy.
Voor het verwerken van zogenaamde bijzondere persoonsgegevens gelden strenge regels. Denk hierbij aan persoonsgegevens betreffende: iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging en bepaalde strafrechtelijke gegevens. De privacyverordening kent twee nieuwe categorieën bijzondere persoonsgegevens: genetische gegevens en biometrische gegevens.
Tip: ga na of er binnen de organisatie bijzondere persoonsgegevens worden verwerkt, zorg dat je weet welke regels gelden voor het type bijzondere gegevens dat je verwerkt en probeer het gebruik ervan zoveel mogelijk te beperken.
Sinds 1 januari jl. is de Autoriteit Persoonsgegevens (AP) bevoegd tot het opleggen van hogere boetes. Als de privacyverordening van toepassing is, wordt dit boetemaximum verhoogd naar 20 miljoen euro of, bij ondernemingen, 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. De privacyverordening geeft de AP de mogelijkheid om de boete direct op te leggen.
Tip: Begin op tijd met het implementeren van alle nieuwe regels en voorkom een boete
Niet alleen kan de AP hogere boetes opleggen, ook moeten datalekken vanaf 1 januari jl. gemeld worden. Voor Nederland verandert er niets met betrekking tot het melden van datalekken, maar in de rest van Europa geldt vanaf dan deze meldplicht ook.
Tip: zorg dat je procedures hebt om datalekken te kunnen melden bij de AP.
In bepaalde gevallen moeten organisaties verplicht een FG aanstellen. Dit is het geval wanneer de verwerkingen worden verricht door de overheid, wanneer een organisatie hoofdzakelijk belast is met stelselmatig observaties van betrokkenen of met het grootschalig verwerken van bijzondere persoonsgegevens. In de toekomstige blogpost over de FG kom je meer te weten over deze aanstelling in een organisatie.
Tip: ga na of je bedrijf een FG nodig heeft. Als dit het geval is kan er binnen het bedrijf iemand aangesteld worden. Het is ook mogelijk om een externe FG in te huren.