Tijdens de workshop Actualiteiten privacyrecht bij het jaarlijkse evenement 'Inzicht in bestuursrecht' zijn de wijzigingen besproken die de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt. De AVG zal vanaf 25 mei 2018 van toepassing zijn en vervangt dan de Wet bescherming persoonsgegevens (Wbp). In twee blogs koppelen we de highlights van de workshop terug.
In onze eerste blog zijn wij ingegaan op het gewijzigde kennisnemingsrecht onder de AVG. In deze tweede blog bespreken wij tips en tricks bij het implementeren van de AVG in uw organisatie.
De implementatie van de AVG – waar te beginnen?
Hoewel de AVG al op 25 mei 2016 in werking is getreden, blijkt in de praktijk dat veel organisaties pas recentelijk (of nog niet) zijn begonnen met de implementatie van de AVG binnen hun organisatie. Inmiddels begint de tijd te dringen. Hoe zorgt u ervoor dat uw organisatie op 25 mei 2018 AVG-proof is en – belangrijker nog – waar te beginnen?
Fase I – De inventarisatie en registratie van alle verwerkingen in het verwerkingsregister
Voordat u van start kunt gaan met de implementatie van de AVG zult u moeten inventariseren welke verwerkingen van persoonsgegevens binnen uw organisatie plaatsvinden. Deze inventarisatie is van belang, omdat organisaties – enkele uitgezonderde organisaties [*] daargelaten - op grond van artikel 30 AVG verplicht zijn tot het bijhouden van een verwerkingsregister. Het verwerkingsregister moet in ieder geval de in artikel 30, eerste lid, AVG genoemde informatie bevatten, waaronder informatie over eventuele gezamenlijk verwerkingsverantwoordelijken die bij de verwerking betrokken zijn. Tijdens de inventarisatiefase zou u direct ook de volgende (aanvullende) aspecten van de verwerking in kaart kunnen brengen:
- de wettelijke grondslag die aan de verwerking ten grondslag ligt
U kunt ervoor kiezen om te inventariseren en registreren welke wettelijke grondslag aan de verwerking ten grondslag ligt (dit kan een bijzondere wet zijn of één van de grondslagen genoemd in artikel 6 AVG). Deze informatie zou kunnen worden opgenomen in het verwerkingsregister, met daarbij aanvullende informatie, zoals een link naar het (standaard)toestemmingsformulier, de (standaard)overeenkomst of een vermelding van de publieke taak of wettelijke verplichting die aan de verwerking ten grondslag ligt.
- of de verwerking een risicoverwerking betreft
Tijdens de inventarisatie zou bekeken kunnen worden of de verwerking een risicoverwerking betreft waarvoor een voorafgaande Privacy Impact Assessment (PIA) verplicht is gesteld (Artikel 35 AVG). Door middel van het uitvoeren van een PIA kunnen de risico’s van de risicoverwerking in kaart worden gebracht, zodat maatregelen kunnen worden getroffen om deze risico’s te verkleinen. In het verwerkingsregister zou kunnen worden opgenomen (i) of sprake is van een risicoverwerking, (ii) of een PIA is (of nog moet worden) verricht en (iii) eventueel een link naar de verrichte PIA.
- of de verwerking wordt uitgevoerd door een verwerker en/of sub-verwerker
Het is mogelijk dat uw organisatie bij de verwerking van persoonsgegevens gebruik maakt van een externe partij, een zogenaamde ‘verwerker’. Denk hierbij aan een cloudopslagprovider. Schakelt de verwerker vervolgens zelf ook weer een verwerker in, dan wordt gesproken van een ‘sub-verwerker’. Hoewel de Wbp bij het inschakelen van een verwerker al verplicht tot het gebruik van een verwerkersovereenkomst, introduceert de AVG strengere verplichtingen (artikel 28 AVG). In het verwerkingsregister zou informatie over de (sub-)verwerker kunnen worden opgenomen, evenals een verwijzing naar de onderliggende verwerkersovereenkomst.
- of de verwerking kwalificeert als geautomatiseerde besluitvorming in de zin van artikel 22 AVG
De regels voor geautomatiseerde individuele besluitvorming – waaronder profilering (geautomatiseerde besluitvorming op basis van persoonlijkheidskenmerken van het individu) – zijn onder de AVG verscherpt. Dit mag slechts plaatsvinden in de in artikel 22 AVG genoemde gevallen. Bestuursorganen mogen hier slecht toe overgaan voor zover daarvoor een Europese of nationale wettelijke grondslag bestaat.[**] Inventariseer of dergelijke besluitvorming zich voordoet binnen uw organisatie en bepaal of dat onder de AVG nog wel is toegestaan. Ook dit kunt u registreren in het verwerkingsregister.
- of de betrokkene(n) worden geïnformeerd over de verwerking
Ook zou u per verweking kunnen inventariseren of de betrokkenen zijn geïnformeerd over de verwerking. De informatie die voorafgaand aan de verwerking moet worden geleverd, is onder de AVG flink uitgebreid. Zo moet voortaan ook worden gewezen op de uitgebreidere rechten van de betrokkene. Tijdens de inventarisatie is aan te raden om per verwerking te bekijken of wordt geïnformeerd (zo ja: op welke wijze, en zo nee: een vermelding van de uitzonderingsgrond op basis waarvan het informeren achterwege is gebleven). Dit kan eventueel in het verwerkingsregister worden opgenomen.
- of bij de verwerking gebruik wordt gemaakt van bijzondere persoonsgegevens of een wettelijk identificatienummer
Tot slot zou u in het verwerkingsregister apart op kunnen nemen of, en zo ja welke categorieën bijzondere persoonsgegevens en wettelijke identificatienummers worden verwerkt bij de verwerking. Hierbij zou kunnen worden vermeld op grond van welke doorbrekingsgrond resp. wettelijke grondslag de verwerking van de bijzondere persoonsgegevens en/of wettelijke identificatienummer mag plaatsvinden.
Fase II – De verantwoordingsplicht
Bestuursorganen moeten kunnen aantonen dat zij voldoen aan de verplichtingen van de AVG: de verantwoordingsplicht (artikel 5, tweede lid en artikel 24 AVG). Onderdeel hiervan kan zijn het opstellen van algemeen privacy- en beveiligingsbeleid, waarmee het bestuursorgaan aantoont hoe zij wil voldoen aan de verplichting van de AVG. Dit beleid zou kunnen worden uitgewerkt in nadere privacy-protocollen (denk bijvoorbeeld aan autorisatieprotocollen en een protocol meldplicht datalekken). Ook dient invulling te worden gegeven aan de uitgebreidere rechten van betrokkenen. Daarnaast zijn bestuursorganen verplicht tot het aanstellen van een functionaris gegevensbescherming (FG) (artikelen 37 en 38 AVG). Wij raden aan om de bevoegdheden en de autonome positie van de FG in een statuut vast te leggen.
Fase III – Onderhoudsprocessen
Tot slot is van belang dat maatregelen worden getroffen die garanderen dat uw organisatie daadwerkelijk AVG-proof blijft. Zorg voor onderhoudsprocessen voor o.a. het doorlopend bijhouden van het verwerkingsregister, het doorlopend beoordelen van nieuwe verwerkingen en noodzaak tot het verrichten van PIA’s, het doorlopend rekening houden met de beginselen van privacy by design & default (artikel 25 AVG), het up to date houden van beveiligingsmaatregelen, waaronder toegangsrechten en autorisaties en het creëren en behouden van privacy-awareness binnen uw organisatie.
Conclusie
In deze blog zijn wij ingaan op de acties die uw organisatie moet ondernemen om AVG-proof te worden. Benieuwd welke wijzigingen de AVG met zich meebrengt voor het kennisnemingsrecht? Lees dan deel I: het kennisnemingsrecht en de AVG.
Meer weten over dit de implementatie van de AVG? Neem dan contact op met het https://www.pelsrijcken.nl/expertise/expertises/privacy/" target="_blank" rel="noopener">privacy expertteam.
[*] Ondernemingen of organisaties met minder dan 250 werknemers hoeven geen verwerkingsregister bij te houden, tenzij sprake is van een verwerking met een risico voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is de verwerking ziet op bijzondere persoonsgegevens (artikel 30, vijfde lid, AVG).
[**] De overige grondslagen genoemd in artikel 22, tweede lid, AVG (uitvoering van een overeenkomst (sub a) of uitdrukkelijke toestemming (sub b)) zijn voor bestuursorganen minder goed bruikbaar. Zie artikelen 38 en 39 van de concept Uitvoeringswet AVG voor enkele uitzonderingen op het verbod van artikel 22 AVG.