Op 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). Er verandert dan veel op het gebied van privacy en gegevensbescherming van uw achterban en de klanten. De AVG versterkt de hun positie. Zij krijgen namelijk nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De regels van de AVG zijn veel strenger en de boetes op het overtreden van de AVG hoger. De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Er zijn nogal wat dingen waar uw bestuurder rekening mee moet houden als de wet wordt ingevoerd. Om u hierbij te helpen, hebben we 10 belangrijkste stappen voor u op een rijtje gezet.
Zet de AVG op de agenda
De gevolgen van de AVG kunnen groot zijn voor uw organisatie. Zorg dat uw organisatie vroeg aan de implementatie van de AVG begint. Als dit onderwerp nu nog niet speelt zet het als OR op de agenda.
Ken de regels
De regelgeving verandert en dat betekent dat u en de beleidsmakers in uw organisatie zich moeten verdiepen in de nieuwe regels. Zorg dat u zich tijdig bijschoolt.
Meer rechten van betrokkenen
De mensen van wie persoonsgegevens worden bijgehouden krijgen meer rechten. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Maak een overzicht van gegevensverwerkingen
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens uw organisatie verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Kijk vervolgens wat dat betekent. Als uw OR hierover mee wil denken dan heeft u informatierecht. Vraag die informatie op die u echt nodig heeft om mee te praten over de AVG.
Data protectionimpact assessment
Onder de AVG kan uw organisatie verplicht zijn een zogeheten data protectionimpact assessment(DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Uw organisatie moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.
Maak gebruik van het adviesrecht
Uw organisatie moet technische en organisatorische maatregelen nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Misschien moet uw organisatie hiervoor wel investeren om hieraan te voldoen. Als dat het geval is dan heeft de OR adviesrecht. Dat is het geval bij de invoering of wijziging van een belangrijke technologische voorziening. Denk hierbij bijvoorbeeld aan personeelsregistratiesystemen of roosterprogramma’s.
Komt er een functionaris voor de gegevensbecherming?
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbecherming (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. Dring daar bij uw bestuurder op aan als u denkt dat dat nodig is.
Meld datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Uw organisatie moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of uw organisatie aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.
Is de bewerkersovereenkomst op orde?
Heeft uw organisatie gegevensverwerking uitbesteed aan een zogenaamde bewerker (verwerker)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, dring er dan bij uw bestuurder op aan dat hij tijdig de noodzakelijke wijzigingen aanbrengt.
Maak gebruik van het instemmingsrecht
De OR heeft instemmingsrecht (artikel 27 WOR) als het gaat om regelingen omtrent het verwerken en beschermen van persoonsgegevens. Verwacht u dat uw organisatie niet aan de AVG voldoet dan is de kans groot dat processen, systemen en procedures aangepast moeten worden. U kunt dan een instemmingsaanvraag verwachten.
Als u een cursus over de privacywetgeving wilt volgen kijk dan bij de cursus OR en privacy.