English
Bereid u voor op de nieuwe Europese Algemene verordening gegevensbescherming (AVG) 2018
Wanneer een organisatie net als ScreenCheck persoonsgegevens verwerkt in haar processen, diensten of producten heeft deze te maken met privacyregels. Belangrijk is voor u als bedrijf, als ook voor de mensen van wie gegevens worden verwerkt, te voldoen aan deze regels. Met het ingaan van de Algemene verordening gegevensbescherming in 2018 komen er nieuwe privacyregels, die meer verplichtingen met zich meebrengen. Gezien ScreenCheck zelf de nodige voorbereidigen treft willen wij door middel van dit artikel u ook op de hoogte brengen. De Autoriteit Persoonsgegevens en de Europese Commissie website zijn goede bronnen voor informatie, wanneer u dieper wilt ingaan op AVG.
Is uw organisatie op de hoogte van de nieuwe privacyregels?
De nieuwe regels van de Algemene Verordening gegevensbescherming gaan meer van u als bedrijf vragen. Houd er daarom rekening mee dat het op de hoogte stellen, beoordelen en implementeren van de AVG tijd vraagt van u en uw medewerkers. Wees er ook van bewust dat de Autoriteit Persoonsgegevens (AP) sancties kan opleggen van max. 20 miljoen euro of 4% van uw omzet, wanneer uw processen, diensten en producten niet voldoen aan de nieuwe wetgeving voor gegevensbescherming.
Meer en verbeterde privacyrechten
De kaarthouders, van wie persoonsgegevens worden verwerkt, krijgen verbeterde privacyrechten en moeten deze kunnen uitoefenen. Dit geldt voor bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Het recht op dataportabiliteit is een van de nieuwe rechten, waarbij kaarthouders zonder moeite hun gegevens moeten kunnen ontvangen en doorgeven aan een andere organisatie. Correcte omgang van gegevens is belangrijk, omdat er klachten kunnen worden ingediend bij de AP over de manier waarop u met persoonsgegevens omgaat.
Documentatieplicht
Toon aan dat u correct omgaat met de persoonlijke data van de kaarthouders, door al de verwerkingen inzichtelijk te maken. Documenteer welke persoonsgegevens worden verwerkt, waarom, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG bestaat een documentatieplicht, u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Bij een aanvraag om gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee gegevens gedeeld zijn.
Misschien bent u ook verplicht om van te voren privacyrisico’s in te schatten, ook wel privacy impact assesment (PIA) genoemd. Het uitvoeren van een PIA moet vooral bij het verwerken van gegevens waarbij er een hoog privacyrisico aanwezig is. U kunt alvast rekening houden met gegevens met een hoog privacyrisico en een PIA en eventuele maatregelen uitwerken.
Meldplicht datalekken
Bij de meldplicht datalekken worden strengere eisen gesteld aan eigen registratie van lekken die zijn voorgekomen in uw organisatie. Documenteer alle datalekken, hiermee moet de AP kunnen controleren of u zich aan de meldplicht houdt. Verder blijft de meldplicht onder de AVG grotendeels hetzelfde.
Toestemming
Ook aan de toestemming voor het verwerken van gegevens worden strenge eisen gesteld. Voor het verwerken van persoonsgegevens moet aangetoond kunnen worden dat u geldige toestemming van debetreffende personen heeft gekregen. Ook moet het net zo makkelijk zijn om de gegeven toestemming weer in te trekken. Kijk dus goed naar de manier waarop u toestemming vraagt, krijgt en registreert.