De Algemene verordening gegevensbescherming: een TO-DO list

Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de Algemene Verordening gegevensbescherming. Het is een goed idee daar nu al mee aan de slag te gaan. Wat moet u nu al doen om dan aan de Verordening te voldoen?

Documentatie

U moet gaan vastleggen over welke persoonsgegevens u beschikt, waar die vandaan komen, en met wie u ze deelt. Ook moet u vastleggen wat de rechtvaardigingsgronden zijn voor de verwerkingen die u uitvoert. Deze documentatie, die u moet kunnen laten zien, bijvoorbeeld aan de Autoriteit Persoonsgegevens, komt in plaats van de melding bij de toezichthouder.

Privacystatement

U moet nagaan of uw privacystatement voldoet aan de uitgebreidere eisen die de Verordening stelt aan het verstrekken van informatie aan betrokkenen. Zo zullen bijvoorbeeld de omvang en de termijnen van het recht op inzage veranderen, en moet u de rechtvaardigingsgronden voor de verwerking van persoonsgegevens in het privacystatement opnemen. 

Rechten van betrokkenen

U moet nagaan of uw privacyprocedures de uitgebreidere rechten van betrokkenen voldoende waarborgen. Zo hebben betrokkenen recht om hun gegevens in een standaardformaat te ontvangen, het recht om direct marketing en profiling te blokkeren, en ze hebben het recht op gegevensportabiliteit.

Toestemming

U moet nagaan of de manier waarop u aan betrokkenen toestemming voor verwerking van hun persoonsgegevens vraagt, krijgt en vastlegt voldoet aan de Verordening. Is die toestemming bijvoorbeeld waar nodig vrij en uitdrukkelijk gegeven, en hoe heeft u geregeld dat die toestemming door de betrokkene kan worden ingetrokken.

Kinderen

U moet nagaan of u de juiste procedures toepast voor het vaststellen van de leeftijd van kinderen, het verkrijgen van toestemming van hun ouders of verzorgers, en of u aan kinderen de juiste, op hun leeftijd toegespitste informatie verstrekt.

Datalekken

U moet controleren of uw datainbreukprocedures voldoen aan de eisen die de Verordening daaraan stelt. De drempel voor meldingen is in de Verordening lager.

Verwerkersovereenkomsten

U moet nagaan of uw bestaande bewerkersovereenkomsten (de Verordening zegt verwerkers) aan de Verordening voldoen. De Verordening bevat expliciete voorschriften over wat in de verwerkersovereenkomst moet staan.

Privacy by design, Privacy by default, en Privacy Impact Assessment

U moet Privacy by design en Privacy by default verwerken in uw interne (ontwerp)procedures. In bepaalde gevallen, bijvoorbeeld als u aan profiling doet, is een Privacy Impact Assessment voorgeschreven. U moet tijdig nagaan of dat voor uw organisatie van toepassing is.

Functionaris voor de gegevensbescherming

U moet nagaan of uw organisatie verplicht is een Functionaris voor de gegevensbescherming aan te stellen. Dat is afhankelijk van de omvang van uw organisatie en de hoeveelheid persoonsgegevens die u verwerkt.

Internationaal

U moet nagaan of verwerkingen die u in het buitenland laat uitvoeren (bijvoorbeeld opslag in de cloud) toegestaan zijn onder de Verordening. Als u activiteiten heeft in meerdere landen moet u nagaan onder welke toezichthouder u valt.

Meer informatie

Neemt u voor meer informatie over de Verordening en wat die voor u betekent contact op met Jos Swinkels, 06-39772526 of swinkels@vwsadvocaten.nl

Foto: Loredanna Barreto, Flickr http://bit.ly/2diTiV4