In tien stappen voorbereid op de AVG
Over een half jaar – 25 mei 2018 om precies te zijn – wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Vanaf die datum gelden in de hele Europese Unie dezelfde privacy wetten en is de Nederlandse Wet bescherming persoonsgegevens (Wbp) niet meer van toepassing.
De Autoriteit Persoonsgegevens (AP) heeft een tienstappenplan gemaakt om voorbereid te zijn op de AVG. Ook de ondernemingsraad krijgt met de invoering ervan te maken.
Door invoering van de AVG krijgen alle mensen waarvan gegevens worden verwerkt nieuwe privacyrechten en worden hun bestaande rechten op dat gebied versterkt. Vooral de organisaties die veel persoonsgegevens verwerken krijgen meer verplichtingen. Dat zijn dan vooral de instellingen die veel cliënt-, patiënt- of andere persoonsgegevens verwerken. Ze zullen moeten kunnen aantonen dat ze zich aan de AVG houden. En niets doen is geen optie, want er kunnen boetes opgelegd worden van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet als de AVG overtreden wordt.
Stap 1: Bewustwording
Natuurlijk begint elke verandering met bewustwording. Het begint ermee dat directie en management goed op de hoogte zijn van de verplichtingen waaraan over een half jaar voldaan moet worden. Daar hoort ook bij dat geïnventariseerd wordt welke aanpassingen er nodig zijn om aan de AVG te voldoen en hoeveel tijd, geld en menskracht nodig is om op tijd klaar te zijn.
De ondernemingsraad kan de invoering van de AVG op de overlegagenda zetten en het er pas weer afhalen als de invoering naar behoren is uitgevoerd.
Stap 2: Rechten van betrokkenen
Mensen waarvan persoonsgegevens worden verwerkt krijgen door de AVG meer privacyrechten. Ze behouden in ieder geval de rechten die ze nu al hebben, zoals het recht op inzage en het recht op correctie en verwijdering. Daarbij komt o.a. het recht op dataportabiliteit. Ze moeten hun gegevens gemakkelijk zelf kunnen krijgen en kunnen doorgeven aan een andere organisatie als ze dat willen. Ook krijgen ze het recht om te klagen als niet goed met hun gegevens wordt omgegaan. De AP moet deze klachten in behandeling nemen.
Stap 3: Overzicht verkrijgen
Alle gegevensverwerkingen van persoonsgegevens moeten in kaart worden gebracht. Welke gegevens worden verwerkt? Met welk doel wordt dit gedaan? Waar komen deze gegevens vandaan en met wie worden ze gedeeld? Door de invoering van de AVG ontstaat voor de ondernemer een verantwoordingsplicht, zodat aangetoond moet kunnen worden dat aan de AVG-vereisten voldaan wordt.
Bij het inventariseren moet ook de wettelijke grondslag van de categorie van gegevens die verwerkt wordt worden vastgelegd. Is er spraken van een gerechtvaardigd belang of is er expliciet toestemming aan de betrokkene gevraagd. Voorbeeld: als een medewerker zijn vakbondscontributie via zijn brutosalaris wil betalen is het noodzakelijk dat de werkgever noteert dat de medewerker lid is van een vakbond en welke dat dan is. De werknemer moet expliciet toestemming geven om dat te registreren en zal dat ook wel moeten doen als daadwerkelijk gebruikt gemaakt gaat worden van de regeling.
De grondslagen van de AVG komen grotendeels overeen met die van de huidige Wbp.
Stap 4: Data protection impact assessment
De AVG verplicht tot een z.g. data protection impact assessment (DPIA). Het is een instrument – vergelijkbaar met een risico-inventarisatie en -evaluatie – om de privacyrisico’s van de gegevensverwerking vast te stellen. Vervolgens moeten er – vergelijkbaar met een Plan van aanpak uit de Arbowet – maatregelen getroffen worden om de geconstateerde risico’s aan te pakken. Het uitvoeren van een DPIA is verplicht als de gegevensverwerking een hoog privacyrisico heeft. Denk aan het verwerken van patiëntgegevens. Er kan dan ook nu al beoordeelt worden of zo’n DPIA nodig is.
Stap 5: Privacy by design & privacy by default
De AVG kent onder meer twee belangrijke principes voor de dataverwerking. ‘Privacy by design’ houdt in dat al bij het ontwerpen van producten en diensten gezorgd moet worden dat persoonsgegevens goed worden beschermd. ‘Privacy by default’ houdt in dat er technische en organisatorische maatregelen genomen moeten worden dat alléén die gegevens verwerkt mogen worden die aantoonbaar noodzakelijk zijn voor het specifieke doel waarvoor ze verwerkt moeten worden.
Zo mag voortaan op een website niet standaard aangevinkt staan dat de inschrijver akkoord gaat met de ontvangst van nieuwe aanbiedingen of een nieuwsbrief.
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Die verplichting geldt voor:
• overheidsinstanties en publieke organisaties (waaronder zorg- en onderwijsinstellingen);
• organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen;
• organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.
Maar een bedrijf of organisatie mag natuurlijk ook vrijwillig een FG aanstellen. Stel de aanstelling niet te lang uit, zeker als die verplicht is.
Stap 7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als hoe die nu onder de Wbp werk. Alle datalekken moeten voortaan gedocumenteerd worden en lekken moeten worden gemeld. De AP moeten kunnen controleren of aan die verplichting is voldaan. Deze verplichting komt nu in de Wbp niet voor, maar in de AVG wel.
Stap 8: Bewerkersovereenkomsten
Veel bedrijven en organisaties hebben de gegevensverwerking uitbesteed. Denk bijvoorbeeld aan het bedrijf dat de salarissen verwerkt. De AVG noemt zo’n organisatie de ‘verwerker’. Check of de huidige overeenkomsten en contracten met de huidige en beoogde nieuwe verwerkers aan de eisen van de AVG voldoen. En als dat niet het geval is: doe er wat aan.
Stap 9: Wie is de leidende toezichthouder
Voor organisaties met vestigingen in meerdere EU-lidstaten hoeven het onder AVG met maar één privacytoezichthouder te doen, zodat niet meerdere toezichthouders zoals de AP zich met de gegevensbescherming en de controle daarop bezig hoeven te houden. De organisatie moet bepalen onder welke privacytoezichthouder het bedrijf of organisatie valt.
Stap 10: Toestemming
De AVG stelt strenge eisen aan de toestemming die betrokkenen moeten geven voor het verwerken van hun persoonsgegevens. Door de invoering van de AVG moet nu ook aangetoond worden dat die toestemming gegeven is en dat het net zo gemakkelijk is om die toestemming ook weer in te trekken. Doorloop dan ook de procedures voor aanmelding e.d. op de expliciete toestemming (en het intrekken ervan) voor het verwerken persoonsgegevens.
Wat kan de ondernemingsraad doen?
Zoals gezegd: zet de invoering op de agenda voor de overlegvergadering en vraag de bestuurder met een plan te komen, zodat tijdig voorbereid wordt op het van kracht worden van de AVG.
In veel organisaties zijn die voorbereidingen al aan de gang, dus laat je als OR goed informeren over de voortgang van die voorbereidingen. Worden de juiste stappen gezet en is er noodzaak tot het – al dan niet vrijwillig – aanstellen van een functionaris gegevensbescherming?
Natuurlijk heeft de ondernemingsraad instemmingsrecht op de gewijzigde bedrijfsregelingen voor de bescherming van persoonsgegevens (artikel 27, 1e lid, onderdeel k), dus toets of de voorgenomen regeling aan de AVG voldoet.