1. Register
Er zijn tien specifieke plichten die de verantwoordelijke voor de gegevensverwerking (dat is de organisatie die gegevens over personen verwerkt) in acht moet nemen.
Ten eerste vereist de Algemene Verordening Gegevensbescherming dat de verantwoordelijke een register bijhoudt waarin staat welke soorten en categorieën gegevens hij verwerkt, waarom en op basis van welke grondslag. In het register kan per verwerking komen te staan welke gegevens er worden verwerkt, wanneer en hoe ze zijn verzameld, wie ze betreffen, hoe lang ze worden bewaard, hoe ze zijn beveiligd, op welke grondslag de verwerking is gebaseerd, welke partijen bij de verwerking betrokken zijn, etc.
Er geldt een uitzondering voor deze plicht voor kleine organisaties die op kleine schaal ongevoelige persoonsgegevens verwerken.
Verder lezen:
3. Data Protection by design and default
De keuzes die je hebt gemaakt in je gegevensbeschermingsbeleid leg je voor zover dat mogelijk is vast in technische systemen waarmee je werkt. Dat kan op twee manieren: by design en by default. Het verschil is dat het 'by design' gaat om een absolute implementatie van een bepaalde regel, waar niet meer van afgeweken kan worden, terwijl het 'by default' gaat om de implementatie van een regel, waar nog wel van afgeweken kan worden. Als je bijvoorbeeld in je gegevensbeschermingsbeleid hebt vastgesteld dat gegevens na 2 jaar weer moeten worden verwijderd, dan stel je de technische systemen zo in dat deze gegevens automatisch na 2 jaar worden verwijderd (by design) of dat ze na 2 jaar worden verwijderd, tenzij er goede redenen bestaan om ze langer te bewaren en daar expliciet voor wordt gekozen (by default).
Lees verder:
5. Data Protection Impact Assessement
Als je vervolgens van plan bent om nieuwe gegevens te gaan verzamelen en verwerken, dan is het belangrijk dat je een goede risicoinschatting maakt.
Als van te voren al duidelijk is dat er geen of nauwelijks risico's zijn verbonden aan het project - bijvoorbeeld een bedrijf wil 10 klanten uitnodigen voor een klanttevredenheidspanel - dan kan het daarbij blijven.
Als er mogelijkerwijs wel risico's met de verwerking zijn gemoeid, dan moeten die in kaart worden gebracht. Dat heet een Data Protection Impact Assessement of een gegevensbeschermingseffectbeoordeling.
Vervolgens moet worden bekeken hoe het project kan worden aangepast zodat er geen risico's meer zijn of die zo veel mogelijk worden beperkt.
Als het niet mogelijk is om de risico's weg te nemen en nog substantiële gevaren blijven bestaan, dan moet de verantwoordelijke de Autoriteit Persoonsgegevens raadplegen voordat met het project wordt begonnen.
De AP kan dan eisen dat er extra maatregelen worden getroffen of melden dat het project niet door mag gaan.
Lees verder:
Artikel 35 AVG (Data Protection Impact Assessement)
Artikel 36 AVG (melding aan de AP)
7. Functionaris
Ook vereist de Algemene Verordening Gegevensbescherming dat de verantwoordelijke een functionaris voor de gegevensbescherming aanstelt. Deze functionaris is het aanspreekpunt voor datasubjecten met een verzoek of klacht en voor de Autoriteit Persoonsgegevens die onderzoek wil doen naar een organisatie. Intern gaat de functionaris na of de AVG wel wordt nageleefd en geeft advies uit waar nodig.
De functionaris is onafhankelijk en neutraal. Het mag dus niet de bedrijfsleider zijn die deze functie bekleed. Het is een beetje te vergelijken met de bedrijfsarts, die wel bij een organisatie hoort, maar toch een neutrale en onafhankelijke rol heeft. De functionaris moet ook voldoende middelen hebben om zijn taak te kunnen uitvoeren.
Er geldt een uitzondering voor deze plicht als het gaat om een organisatie die geen overheidsorgaan is (bijvoorbeeld een bedrijf), die op kleine schaal niet gevoelige persoonsgegevens verwerkt.
Lees verder:
Artikel 37 AVG (Aanwijzing van de functionaris voor gegevensbescherming)
Artikel 38 AVG (Positie van de functionaris voor gegevensbescherming)
9. Technische veiligheidsmaatregelen
Als er persoonsgegevens worden verwerkt moeten er technische veiligheidsmaatregelen worden getroffen. Denk hierbij aan het versleutelen van gegevens, het beveiligen van systemen tegen hackers en het nemen van technische maatregelen die schade beperken in het geval persoonsgegevens toch in verkeerde handen vallen.
Lees verder:
Artikel 32 AVG (technische veiligheidsmaatregelen)
2. Gegevensbeschermingsbeleid
Vanuit deze inventarisatie maak je een gegevensbeschermingsbeleid. Hierin leg je uit welke keuzes je hebt gemaakt en waarom. Waarom heb je de gegevens nodig; waarom moeten ze bijvoorbeeld 2 jaar worden bewaard; waarom worden ze met een bepaalde techniek beveiligd; waarom is er wel of geen clean desk policy; waarom worden de gegevens doorgegeven aan andere organisatie; hoe wordt omgegaan met verzoeken van datasubjecten; welke gevallen worden binnen de organisatie als risicovol beschouwd; hoe vaak worden gegevens geüpdate en waarom; etc. Je legt alle keuzes en beslissingen vast en geeft aan wat de reden hiervoor is.
Ook leg je alle afspraken met andere organisaties waarmee je gegevens deelt of samenwerkt ten behoeve van de gegevensverwerking contractueel vast. In het contract staat nauwgezet beschreven wie welke gegevensverwerkingen verricht, waarom en welke waarborgen daarvoor zijn getroffen.
Lees verder:
Artikel 24 lid 2 AVG (gegevensbeschermingsbeleid)
Artikel 26 AVG (het vastleggen van afspraken tussen verantwoordelijken onderling)
Artikel 28 lid 4 AVG (het vastleggen van afspraken tussen de verwerker en de sub-verwerker)
6. Informatie aan het datasubject
Op het moment dat er gegevens worden verzameld over een individu moet de verantwoordelijke aan het individu duidelijk maken dat er gegevens over hem worden verwerkt, waarom, door wie, aan wie de gegevens worden doorgegeven, op welke verwerkingsgrondslag er een beroep wordt gedaan, hoe lang de gegevens worden bewaard, welke technische en organisatorische veiligheidsmaatregelen er zijn getroffen, etc.
Als de gegevens niet direct van het datasubject zelf worden verzameld, maar bijvoorbeeld door een database van een andere partij over te nemen of op te komen, dan moet deze informatie binnen een maand worden medegedeeld, tenzij het voor de verantwoordelijke vrijwel onmogelijk is om te achterhalen over wie de gegevens gaan en hoe die personen kunnen worden bereikt.
Lees verder:
Artikel 13 AVG (informatieplicht bij direct verzamelen)
Artikel 14 AVG (Informatieplicht bij indirect verzamelen)
4. Transparantie
Vervolgens dien je transparant te zijn over de gegevens die je hebt binnen je organisatie, welk gegevensbeschermingsbeleid je hebt aangenomen en welke maatregelen je hebt getroffen om te zorgen voor goede organisatorische en technische veiligheid. Bij voorkeur geschiedt dat via de website in begrijpelijke taal en dus niet in juridisch of technisch jargon. Ook beleid met 20 bladzijden aan tekst is niet aan te raden - de AVG zet in op heldere en inzichtelijke communicatie, bijvoorbeeld door icoontjes of andere visuele middelen waardoor het snel te zien is voor een leek wat er met zijn persoonsgegevens gebeurt en waarom. Als de organisatie ook gegevens heeft over kinderen moet daar in de communicatie en het taalgebruik expliciet rekening mee worden gehouden.
8. Organisatorische veiligheidsmaatregelen
Als er persoonsgegevens worden verwerkt moeten er organisatorische veiligheidsmaatregelen worden getroffen. Denk hierbij aan een clean desk policy, fysieke beveiliging van databases en gevoelige documenten en het bijhouden van welke werknemers tot welke gegevens toegang hebben gehad en waarom.
Lees verder:
Artikel 32 AVG (organisatorische veiligheidsmaatregelen)
10. Meldplicht datalek
Als gegevens in verkeerde handen zijn gevallen, doordat er bijvoorbeeld een hack is geweest of omdat er een laptop met informatie in de trein is achtergelaten, zijn er drie situaties:
1. De gegevens zijn ongevoelig en de dataset is zeer klein - er bestaat geen wezenlijk risico of gevaar. Dan moet de verantwoordelijke zijn interne processen nog eens nalopen om te bekijken waar het fout is gegaan en maatregelen treffen om te voorkomen dat eenzelfde fout zich nog een keer voordoet.
2. Als het gaat om een substantiëlere dataset, waarbij het mogelijk is dat derden die de data in bezit hebben gekregen daar misbruik van maken, moet de verantwoordelijke het lek melden aan de Autoriteit Persoonsgegevens en eventuele instructies opvolgen.
3. Als het mogelijk is dat individuen over wie de data gaan concreet nadeel zullen ondervinden van het lek - bijvoorbeeld als er compromitterende informatie over hen bekend is - dan moeten zij daar direct van op de hoogte worden gesteld, tenzij het onmogelijk is om hun identiteit te achterhalen.
Lees verder:
Artikel 33 AVG (meldplicht AP)