Voorkom een boete, zorg dat uw bedrijf privacy-proof is
Vanaf 25 mei 2018 dient de bedrijfsvoering van alle organisaties die persoonsgegevens verwerken in overeenstemming met de Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG), te zijn. Dit lijkt nog ver weg maar het is aan te raden om vast maatregelen te nemen zodat de organisatie tijdig aan de regels van de AVG voldoet.
Verwerken van persoonsgegevens
De nieuwe regels zien vooral op het uitbreiden van de rechten van de betrokkenen waarvan de persoonsgegevens worden verwerkt. Zo had men altijd het recht op inzage, recht op correctie en verwijdering en zijn daar nu het recht van bezwaar, het indienen van een klacht en het recht op dataportabiliteit bijgekomen. U als organisatie dient er voor te zorgen dat de betrokkenen deze rechten ook daadwerkelijk kan uitoefenen. Daarnaast is de grondslag toestemming nader uitgewerkt en strenger geworden. De bewijslast voor het hebben van toestemming rust bij de organisatie. Deze toestemming dient tevens te allen tijde op eenvoudige wijze te kunnen worden ingetrokken.
Informatieplicht
Naast de uitbreiding van de privacyrechten is de Informatieplicht een stuk uitgebreid. Organisaties dienen de betrokkenen in begrijpelijke taal informatie te verschaffen over onder andere de verantwoordelijke organisatie voor het verzamelen van de persoonsgegevens, welke gegevens die verzameld worden en hoelang deze gegevens worden bewaard. Deze informatieplicht heeft als gevolg dat de privacy statements veelomvattender dienen te worden.
Meldplicht datalekken
Een ander belangrijk punt is de beveiliging. De organisaties dienen passende beveiligingsmaatregelen te nemen. De verplichte uitgangspunten onder de AVG zijn daarbij de privacy by design of privacy by default. De meldplicht datalekken wijzigt slechts gering ten aanzien van de oude regelgeving maar organisaties dienen vanaf mei 2018 wel alle datalekken vast te leggen.