De Algemene Verordening Gegevensbescherming (AVG) is alweer twee maanden van toepassing. Je hebt het vast voorbij zien komen in je inbox. De vraag of je het nieuwe privacystatement wil accepteren. Dit is echter niet de enige verandering die organisaties ondervinden door de AVG. Ik heb persoonlijk en via mijn netwerk hier inzicht in gehad en wil mijn bevindingen graag met jullie delen.
De AVG
De AVG is sinds 25 mei 2018 van toepassing. Deze verordening zorgt onder andere voor uitgebreide en versterkte rechten voor betrokkenen, meer verantwoordelijkheden voor organisaties en dezelfde stevige bevoegdheden voor alle Europese privacytoezichthouders. Zo moeten organisaties onder andere transparant zijn over de gegevensverwerking. Wat is het doel, welke persoonsgegevens worden verzameld, wat is de bewaartermijn, wat moet er gemeld worden en wat niet etc. In Nederland is de AP de toezichthoudende autoriteit en moet eraan bijdragen dat de AVG consequent wordt nageleefd door organisaties. Hieronder beschrijf ik de belangrijkste effecten die de AVG heeft op organisaties.
Effect op de organisatie
Het effect met de meeste impact is met name de omslag naar bewustwording binnen de organisatie. Alle medewerkers die werken met persoonsgegevens moeten op de hoogte zijn van de verordening en welke gevolgen dit heeft voor het werk wat zij verrichten. Voor grote organisaties kan dit nogal een uitdaging zijn omdat zij waarschijnlijk in verschillende lagen met persoonsgegevens werken. Daarnaast hebben betrokkenen zoals eerder genoemd uitgebreide rechten onder de AVG. Dit zal in veel gevallen voor organisaties betekenen dat hier een duidelijke procedure voor vastgelegd moet worden zodat er adequaat gehandeld kan worden op verzoeken van betrokkenen.
Tevens stelt de AVG ook een aantal plichten aan organisaties. Zo zijn organisaties verplicht (hier is wel een uitzondering op, zie hier wanneer de verplichting niet geldt) om een verwerkingsregister te hebben. In dit register staat informatie over de persoonsgegevens die u verwerkt. Zie art. 30 AVG voor de eisen die worden gesteld aan het verwerkingsregister. Daarnaast moeten organisaties een datalekkenregister opstellen waarin alle datalekken worden geregistreerd. Verder kunnen organisaties verplicht zijn om een Data Protection Impact Assessment (DPIA) uit te voeren en/of een Functionaris Gegevensbescherming (FG) aan te stellen. Tot slot is het van belang dat als er toestemming gevraagd wordt, deze toestemming ook kan worden aangetoond door de organisatie.
Indeling en bedrijfsvoering
Zoals hierboven beschreven zijn er best wat veranderingen voor organisaties. Het is daarom raadzaam om, wanneer je niet verplicht bent om een FG aan te stellen, iemand binnen de organisatie aan te stellen als Privacy Officer (PO). Deze persoon kan organisaties helpen om aan de AVG te voldoen. Dit zijn de grootste veranderingen die ik ben tegengekomen als het gaat om de AVG. Meer informatie over de veranderingen en effecten van de AVG kan je vinden op de site van de AP.