Bent u gereed voor de invoering van de AVG?
Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Deze geldt voor alle partijen die persoonsgegevens verwerken, in de hele Europese Unie. De AVG vervangt de Wet bescherming persoonsgegevens. De regeling is bijna twee jaar geleden vastgesteld en de overheid gaat ervan uit dat uw bedrijf vanaf 25 mei aan de eisen voldoet. Als u nog niet zover bent, dan kunt u onderstaand stappenplan volgen om op tijd klaar te zijn.
Stap 1: Bewustwording
Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. U moet inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website www.hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.
Op de website https://veiliginternetten.nl/zakelijk vindt u onder meer informatie over datalekken en wat te doen als daarvan bij u sprake is.
Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw omzet als u zich niet aan de nieuwe privacywetgeving houdt.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website www.hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.
Op de website https://veiliginternetten.nl/zakelijk vindt u onder meer informatie over datalekken en wat te doen als daarvan bij u sprake is.
Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw omzet als u zich niet aan de nieuwe privacywetgeving houdt.
Stap 2: Rechten van betrokkenen
Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
Stap 3: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
Naar inschatting van de VLHT vallen de Nederlandse tandtechnische laboratoria buiten deze verplichting.
Naar inschatting van de VLHT vallen de Nederlandse tandtechnische laboratoria buiten deze verplichting.
Stap 4: Data protection impact assessment (DPIA)
Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dit kan bij voorbeeld zijn als u foto’s opslaat, die tot patiënten te herleiden zijn, of als u informatie over de huidskleur van patiënten opneemt in uw gegevens.
Komt uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start.
Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dit kan bij voorbeeld zijn als u foto’s opslaat, die tot patiënten te herleiden zijn, of als u informatie over de huidskleur van patiënten opneemt in uw gegevens.
Komt uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start.
Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.
Stap 5: Privacy by design & privacy by default
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van ‘privacy by design’ en ‘privacy by default’ en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig is.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig is.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Stap 6: Overzicht verwerkingen
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.
Stap 7: Beveiliging en meldplicht datalekken
In de AVG staat dat u persoonsgegevens goed moet beveiligen. Ook daarom moet u van tevoren goed in kaart brengen wat voor verwerkingen u uitvoert. Vervolgens bepaalt u welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat die verwerkingen goed beveiligd zijn.
Het is belangrijk om een beleidsdocument voor informatiebeveiliging op te stellen. Op die manier brengt u de risico’s voor informatiebeveiliging in kaart. Alleen dan kunt u goed bepalen welke maatregelen u moet nemen om deze risico’s te beperken. Uw beleid kunt u vastleggen in een document. Bijvoorbeeld als een van de onderdelen van uw ‘gegevensbeschermingsbeleid’.
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie.
Het is belangrijk om een beleidsdocument voor informatiebeveiliging op te stellen. Op die manier brengt u de risico’s voor informatiebeveiliging in kaart. Alleen dan kunt u goed bepalen welke maatregelen u moet nemen om deze risico’s te beperken. Uw beleid kunt u vastleggen in een document. Bijvoorbeeld als een van de onderdelen van uw ‘gegevensbeschermingsbeleid’.
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie.
Stap 8: Verwerkersovereenkomsten
Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen, zodat de privacy van mensen goed worden beschermd.
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Verwerkersovereenkomsten moeten in ieder geval de volgende informatie bevatten:
• schriftelijke instructies, onder meer voor de doorgifte van persoonsgegevens aan derden en het inschakelen van subverwerkers;
• vertrouwelijkheid;
• beveiliging van de verwerking;
• verlenen van bijstand bij het vervullen van de plicht van de verwerkingsverantwoordelijke om te voldoen aan verzoeken van betrokken personen. Bijvoorbeeld wanneer iemand inzage wil in zijn of haar gegevens;
• verlenen van bijstand met betrekking tot beveiliging en DPIA en voorafgaande raadpleging;
• het wissen van persoonsgegevens na afloop van de dienst;
• alle informatie ter beschikking stellen die nodig is om nakoming van verplichtingen aan te tonen en audits mogelijk te maken.
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (nu nog 'bewerker' genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Verwerkersovereenkomsten moeten in ieder geval de volgende informatie bevatten:
• schriftelijke instructies, onder meer voor de doorgifte van persoonsgegevens aan derden en het inschakelen van subverwerkers;
• vertrouwelijkheid;
• beveiliging van de verwerking;
• verlenen van bijstand bij het vervullen van de plicht van de verwerkingsverantwoordelijke om te voldoen aan verzoeken van betrokken personen. Bijvoorbeeld wanneer iemand inzage wil in zijn of haar gegevens;
• verlenen van bijstand met betrekking tot beveiliging en DPIA en voorafgaande raadpleging;
• het wissen van persoonsgegevens na afloop van de dienst;
• alle informatie ter beschikking stellen die nodig is om nakoming van verplichtingen aan te tonen en audits mogelijk te maken.
Stap 9: Voldoet u aan uw informatieplicht?
Informeert u mensen op een begrijpelijke manier welke gegevens u voor welk doel en met welke grondslag verzamelt en verwerkt?
En heeft u een document heeft opgesteld waarin u betrokken personen informeert over de verwerking van privacygegevens, bijvoorbeeld in de vorm van een ‘privacyverklaring’?
Zorg dat het document in begrijpelijke taal is geschreven en op een toegankelijke plek is opgeslagen. Uw doelgroep weet bij u dus precies wat er met hun gegevens gebeurt.
En heeft u een document heeft opgesteld waarin u betrokken personen informeert over de verwerking van privacygegevens, bijvoorbeeld in de vorm van een ‘privacyverklaring’?
Zorg dat het document in begrijpelijke taal is geschreven en op een toegankelijke plek is opgeslagen. Uw doelgroep weet bij u dus precies wat er met hun gegevens gebeurt.
Stap 10: Toestemming
Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.
Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Toelichting
De achtergrond van de nieuwe AVG is de bescherming van persoonsinformatie, in een maatschappij die steeds meer persoonsgegevens verzamelt en ook gebruikt en soms misbruikt. Keerzijde van de medaille is dat door deze regeling de administratieve lasten voor ondernemers weer aanmerkelijk worden vergroot.
De AVG is in een aantal gevallen ruim geformuleerd. Niet altijd is meteen duidelijk welke bepalingen wel of niet voor u gelden. Hanteer bij twijfel de strengere bepalingen.
Dit artikel zal in de loop der tijd worden bijgewerkt en aangevuld met specifieke, op de tandtechniek betrekking hebbende informatie.
De VLHT heeft zich ingespannen om u met dit artikel op weg te helpen bij het naleven van de AVG maar pretendeert geen volledigheid. De VLHT aanvaardt geen aansprakelijkheid voor eventuele fouten of omissies in dit artikel.