GDPR CHECKLIST – 10 Aandachtspunten
Nog maar iets meer dan 2 maanden te gaan voordat dat de General Data Protection Regulation (“GDRP”) (De Algemene Verordening Gegevensbescherming (AVG)) op 25 mei 2018 in werking treedt. De regelgeving uit de GDPR komt in de basis grotendeels overeen met de regelgeving uit de Wet bescherming persoonsgegevens, maar brengt ook een aantal nieuwe verplichtingen met zich mee. Hieronder hebben wij voor u een overzicht gemaakt van de aandachtspunten die voor uw organisatie van belang zijn.
Indien u vragen heeft over de GDPR, assistentie nodig heeft bij de juiste implementatie van de GDPR of overige vragen over de bescherming van persoonsgegevens dan helpen wij u graag. U kunt ons bereiken via machiels@wordpress-151149-2652345.cloudwaysapps.com of +31(0)20 760 31 36.
Nr. 1 – Breng de verwerking van persoonsgegevens (de datastromen) binnen uw onderneming in kaart
Om te kunnen bepalen welke aanpassingen op basis van de GDPR noodzakelijk zijn, is het van belang om eerst goed in kaart te brengen welke verwerkingen er binnen uw onderneming plaatsvinden. In kaart dient te worden gebracht:
- Welke persoonsgegevens worden verwerkt?;
- Voor welke doeleinden worden deze persoonsgegevens verwerkt?;
- Op basis van welke rechtvaardigingsgrond worden de persoonsgegevens verwerkt (toestemming, gerechtvaardigd belang etc.)?;
- Voor welke duur worden de persoonsgegevens verwerkt?;
- Zijn er aanvullende vereisten van toepassing (bijvoorbeeld op basis van MiFID of PSD)?;
- Welke personen binnen uw organisatie zijn betrokken bij de verwerking van de persoonsgegevens?
Nr. 2 – Update uw interne processen
Pas u interne processen aan in overeenstemming met de vereisten uit de GDPR. Nieuwe vereisten onder de GDPR zijn bijvoorbeeld het bijhouden van een register van verwerkingsactiviteiten (registerplicht) en het moeten uitvoeren van een gegevensbeschermingsbeoordeling voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit. Maak bij de ontwikkeling van nieuwe processen gebruik van standaardinstellingen en ontwerpen waarin de basisvereisten voor het legitiem verwerken van persoonsgegevens reeds is verwerkt (Privacy by Design en Privacy by Default).
Nr. 3 – Toestemming
Wanneer u heeft vastgesteld dat de verwerkingen (deels) plaatsvinden op basis van toestemming dan moet worden gecontroleerd of deze toestemming voldoet aan de vereisten onder de GDPR. Toestemming voldoet aan de vereisten onder de GDPR indien deze:
- Vrijelijk is gegeven (freely given);
- Ten aanzien van specifieke doeleinden (specific);
- Waarover de betrokkene is geïnformeerd (informed); en
- Kenbaar is gemaakt door de betrokkene middels een ondubbelzinnige wilsuiting (unambiguous indication).
U moet als verwerkingsverantwoordelijke in staat zijn om aan te tonen dat de toestemming is verleend in overeenstemming met bovenstaande vereisten. Indien de toestemming middels een schriftelijke verklaring wordt gegeven, moet het doel waarvoor de betrokkene toestemming geeft makkelijk te onderscheiden zijn van andere aangelegenheden opgenomen in diezelfde schriftelijke verklaring.
Nr. 4 – Rechten van betrokkene
Als verantwoordelijke dient u in uw processen te waarborgen dat de betrokkene van wie u de persoonsgegevens verwerkt efficiënt zijn rechten onder de GDPR, zoals het recht op inzage, het recht op rectificatie en het recht op verzet, kan uitoefen De GDPR kent een aantal nieuwe rechten voor de betrokkene zoals het recht op overdracht van gegevens (dataportabiliteit) en het recht op vergetelheid. Informeer de betrokkenen adequaat over deze rechten.
Nr. 5 – Update uw privacy documentatie
Nadat u alle datastromen in kaart heeft gebracht en weet voor welke doeleinden en op basis van welke rechtvaardigingsgronden u de persoonsgegevens verwerkt kunt u beginnen met het updaten van uw privacy documenten zoals uw privacy statement en verwerkersovereenkomsten. Zorg ervoor dat deze documentatie in overeenstemming is met de uitgebreide informatie eisen onder de GDPR.
Nr. 6 – Controleer of het nodig is dat uw organisatie een Data Privacy Officer aanstelt
Op basis van de verwerkingen die binnen uw bedrijf plaatsvinden, kunt u vaststellen of u verplicht bent om een Data Privacy Officer (DPO) (functionarisgegevensbescherming) aan te stellen. Deze verplichting bestaat bijvoorbeeld indien uw onderneming hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. Indien u niet verplicht bent om een DPO aan te stellen, kunt u dit alsnog op vrijwillige basis doen.
Nr. 7 – Meldplicht datalekken
De verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens (AP) bestaat sinds 1 januari 2016 al in Nederland. Let wel op dat de formulering van de bepaling in de GDPR anders is dan het voormalige artikel 34a Wbp. Onder de GDPR hoeven enkel daadwerkelijke inbreuken op de persoonsgegevens te worden gemeld en niet een inbreuk op beveiliging die enkel leidt tot de aanzienlijke kans op ernstige nadelige gevolgen.
Nr. 8 – Databeveiliging
Zorg ervoor dat uw bedrijf een passend beschermingsniveau hanteert bij de verwerking van persoonsgegevens. Hierbij dient u rekening te houden met de stand van de techniek, de uitvoeringskosten en de aard, omvang en de context waarin u de gegevens verwerkt. Deze factoren kunnen in de loop der tijd veranderen. Evalueer regelmatig of de maatregelen die u heeft getroffen nog passend zijn.
Nr. 9 – Toezichthouder
Indien uw onderneming onderdeel is van een internationaal concern met meerdere vestigingen in Europa is het belangrijk om vast te stellen welke toezichthouder kwalificeert als de leidende toezichthouder. De leidende toezichthouder is in beginsel de toezichthouder van het land waarin de Europese hoofdvestiging is gevestigd. De leidende toezichthouder is het enige aanspreekpunt voor uw concern (one-stop-shop).
Nr. 10 – Bewustwording
Bewustwording is van belang voor het waarborgen van een correcte naleving van de GDPR binnen uw organisatie. De personen die binnen uw organisatie betrokken zijn bij de verwerking van persoonsgegevens dienen zich bewust te zijn van de basisbeginselen en wanneer zij navraag dienen te doen bij een expert op het gebied van bescherming persoonsgegevens (bijvoorbeeld bij de DPO indien deze is aangesteld).