Welke maatregelen moet je nemen?

Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Hieronder zijn de algemene maatregelen beschreven die een organisatie moet nemen om te voldoen aan de GDPR.

1. Stel een DPO aan
Een Data Privacy Officer (DPO), oftewel Functionaris voor gegevensbescherming (FG), is een onafhankelijk persoon die adviseert en rapporteert over naleving van de privacy wetgeving. Als verwerkersverantwoordelijke of als verwerker ben je verplicht om een DPO aan te stellen indien de instantie:

• Een overheidsinstantie of orgaan is
• Is belast met grootschalige verwerking van bijzondere persoonsgegevens
• Is belast met verwerkingen van regelmatige en stelselmatige observatie op grote schaal (denk aan profilering en tracking online en offline).

Een DPO kan iemand zijn die intern of extern aangesteld wordt. Houdt er wel rekening mee dat er geen belangenverstrengeling mag zijn indien de DPO daarnaast ook nog een andere werkzaamheden uitvoert.

2. Creëer awareness
Zorg ervoor dat iedereen in je organisatie die persoonsgegevens verwerkt op de hoogte is van de nieuwe privacyregels. Zij moeten weten hoe ze moeten omgaan met persoonsgegevens en wat wel en niet is toegestaan onder de GDPR.

3. Houdt een verwerkingsregister bij
Alle gegevensverwerkingen van een organisatie dienen in kaart te worden gebracht. In dit register wordt vermeld welke persoonsgegevens er verwerkt worden en met welk doel, waar deze gegevens vandaan komen, op welke grondslag ze verwerkt worden en met wie ze gedeeld worden. Onder de GDPR geldt namelijk een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de GDPR handelt.

4. Voer een DPIA uit
Een Data Privacy Impact Assessment (DPIA) is een instrument om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen. Op basis daarvan dienen maatregelen te worden getroffen om de risico’s te verkleinen. De volgende vragen worden beantwoord tijdens dit assessment:

• welke persoonsgegevens verwerkt worden en op welke wijzen;
• waarom persoonsgegevens verwerkt worden;
• de risico’s van de verwerking;
• hoe deze risico’s kunnen worden gemanaged.

Onder bepaalde voorwaarden is een DPIA verplicht, maar het is aan te raden om vrijwillig een DPIA uit te voeren. De DPO speelt een belangrijke rol in het uitvoeren van een DPIA. Op de site van AP vind je meer uitleg over de DPIA.

Tref passende beveiligingsmaatregelen
Persoonsgegevens moeten op passende wijze worden beveiligd. Hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Indien gebruik wordt gemaakt van een verwerker, dan moet de verantwoordelijke ervoor zorgen dat ook deze voldoende beveiligingsmaatregelen treft.

5. Stel een datalek procedure op
De GDPR stelt strengere eisen (ten opzichte van de Wbp) aan de eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

6. Sluit verwerkersovereenkomsten af (DPA)
Het sluiten van een verwerkersovereenkomst, oftewel Data Processing Agreement in het Engels, tussen de verwerkersverantwoordelijke en de verwerker is verplicht.

7. Stel een privacy statement op
Een privacy statement wordt doorgaans opgesteld om de betrokkene te informeren over de verwerking van zijn persoonsgegevens. Organisaties dienen er voor te zorgen dat de privacyverklaring voldoet aan de aangescherpte informatieplichten en dat de verklaring op een duidelijke en eenvoudige manier geschreven is. Dit statement dient in ieder geval de volgende informatie te bevatten:
• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en mogelijke DPO
• De doelen van de gegevensverwerking
• De rechtmatige grondslag van de gegevensverwerking (indien rechtvaardig belang de grondslag is, ook een uitleg van deze belangen)
• De categorieën gegevens die verwerkt worden
• De bewaartermijn van de persoonsgegevens
• Hoe betrokkenen hun persoonsgegevens kunnen inzien, corrigeren, verwijderen en/of overdragen (rechten van betrokkenen)
• Derde partijen met wie gegevens worden gedeeld

8. Richt systemen in op de rechten van betrokkenen
Als verantwoordelijke moet je ervoor zorg dragen dat systemen zo zijn ingericht dat ze kunnen omgaan met verzoeken van de betrokken. Een verzoek van een betrokkene over zijn persoonsgegevens moet normaal binnen een maand inhoudelijk afgehandeld zijn. Als bedrijf zijnde kun je ervoor kiezen om deze verzoeken ad-hoc te behandelen. Maar als er veel van dit soort verzoeken binnenkomen, en de verwerking bij meerdere partijen plaatsvindt, kan dit een kostbaar een langlopend proces worden.

9. Hanteer Privacy by Design
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Technieken zoals anonimiseren, dataminimalisatie, pseudonimiseren, encryptie, access control, Privacy by default (privacyvriendelijke settings als uitangspunt), automatisch verwijderen kunnen hierbij toegepast worden.