Het is van belang dat u als ondernemer of manager op de hoogte bent van de nieuwe privacyregels. U kan een inschatting maken van de impact die het heeft op uw bedrijf. Vervolgens is het van belang uw medewerkers duidelijk te maken waar ze mee te maken krijgen. Immers de Autoriteit Persoongegevens kan sancties opleggen tot 4% van uw omzet bij overtredingen. In de autobranche heeft BOVAG voor leden een handig stappenplan ontwikkeld. Daarnaast kunt veel informatie terugvinden op autoriteitspersoonsgegevens.nl (AP)
Onder de AVG krijgen de consumenten van wie u persoonsgegevens verwerkt meer privacyrechten. U dient er voor te zorgen dat deze mensen deze privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houdt u ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Met MijnGegevensbescherming.nl regelt en registreert u alle aanvragen van mensen die hun privacyrechten jegens u uitoefenen.
Stel een overzicht op van alle soorten gegevens die u verwerkt. Geef daarbij aan met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat zoveel wil zeggen dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. MijnGegevensbescherming.nl bevat een dergelijk register.
Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Voor het gemiddelde autobedrijf is dit doorgaans niet aan de orde.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevens- bescherming (FG) aan te stellen. Dit is het geval als u bijzondere persoonsgegevens verwerkt of grootschalig data verzameld en verwerkt. En voor overheden zorginstanties en onderwijsinstellingen. Een medewerker die formeel de functienaam FG draagt, dient aan de wettelijke voorschriften voor een FG te voldoen. In andere gevallen wordt geadviseerd een medewerk(st)er aan te wijzen die zich met bescherming van persoonsgegevens bezig houdt. Die medewerk(st)er is op de hoogte van de datastromen in uw bedrijf, kan instructies voor andere medewerkers opstellen, vragen van consumenten afhandelen en andere zaken die de AVG voorschrijft uitvoeren. Noem zo’n medewerker echter geen FG.
De meldplicht datalekken bestaat sinds 2016 en blijft onder de AVG grotendeels hetzelfde. Er worden vanaf 25 mei 2018 wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan gesteld. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan. In geval u databewerking uitbesteedt aan één van de distributeurs van MIjnGegevensBescherming.nl ontvangt u tijdig een bij de dienstverlening passende verwerkersovereenkomst.
Heeft uw bedrijf vestigingen in meerdere EU-lidstaten? Of hebben uw gegevens- verwerkingen in meerdere lidstaten impact? Dan hoeft u niet per land afzonderlijk met een toezichthouder zaken te doen. U heeft het recht om zelf te kiezen onder welke toezichthouder (landkeuze) u wenst te vallen.
Voor meerdere gegevensverwerkingen hebt u als gevolg van de AVG uitdrukkelijke toestemming nodig van de betrokkenen. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan, bijvoorbeeld: het is niet toegestaan om de keuzemogelijkheid onder aan een nieuwsbrief waarmee ontvangers kunnen aangeven of ze informatie over acties een aanbieding wensen te ontvangen vooraf aan te vinken. Ook dient u te moeten aantonen dat u geldig toestemming heeft gekregen. Met MijnGegevensbescherming kunnen consumenten per communicatiekanaal hun opt-in/opt-out instellingen wijzigen.
Bron: https://autoriteitpersoonsgegevens.nl / 21 maart 2018