Menu
JPR Advocaten

Voorzorgsmaatregelen in het kader van de AVG

Met het oog op ‘voorkomen is beter dan genezen’ voorziet de Algemene Verordening Gegevensbescherming (AVG) ook in strenge (voorzorgs)maatregelen, die voor enkele organisaties zelfs verplicht zijn. De AVG regelt onder meer de aanstelling van een Functionaris Gegevensbescherming, het opstellen van een register van verwerkingsactiviteiten (of het verwerkingsregister) en het registreren van datalekken. Daarnaast moet bij elke ontwikkeling of innovatie de privacy afgewogen worden. Al deze acties gezamenlijk wordt ook wel de ‘implementatie’ van de AVG genoemd.

Functionaris Gegevensbescherming

Het kan voorkomen dat uw organisatie verplicht is om een Functionaris Gegevensbescherming (ook wel ‘FG’ genoemd) te benoemen. Een Functionaris Gegevensbescherming houdt het beleid met betrekking tot de verwerking van persoonsgegevens in de gaten. Overheden zijn verplicht een Functionaris Gegevensbescherming aan te stellen. Organisaties die bijzondere persoonsgegevens verwerken, zoals zorginstellingen en ziekenhuizen, zijn net als de overheid verplicht om een FG aan te stellen. Daarnaast zijn organisaties die grote aantallen persoonsgegevens verwerken, bijvoorbeeld telecommaatschappijen, ook verplicht tot het aanstellen van een FG, ook al zijn de persoonsgegevens die zij verwerken niet per se gevoelig of bijzonder.

De FG is volgens de letter van de wet ook het aanspreekpunt voor betrokkenen die hun rechten uitoefenen. De FG handelt als onafhankelijk adviseur van de onderneming, vergelijkbaar met een ondernemingsraad en is tevens contactpersoon voor de Autoriteit Persoonsgegevens.

Privacybewustzijn en bewustwording

Verder verlangt de AVG dat organisaties voor bewustwording en bewustzijn over privacy bij hun werknemers zorgen. Verlangd wordt dat medewerkers op de hoogte zijn van de privacyregels en de rechten die betrokkenen hebben. Dit kan vaak klassikaal of via een e-learning, maar in sommige gevallen zien medewerkers meer gevoelige gegevens. De privacykennis van de werknemer moet dan ook groter zijn.

Privacy by design en een DPIA

Vanuit de AVG is een organisatie verplicht om bij het ontwerp na te denken over de beginselen van privacy by design en privacy by default. De bedoeling van privacy by design is om bij opstartfase van een nieuw product, proces of innovatie al de gevolgen op het gebied van privacy mee te nemen.

De ideale situatie is dus dat men voorafgaand aan de verwerking van persoonsgegevens, stil staat bij de mogelijke privacyrisico’s. Dit kan door het uitvoeren van een Data Protection Impact Assessment, of een DPIA, waardoor voorafgaand de privacyrisico’s in kaart worden gebracht. Op grond van deze uiteenzetting kunnen maatregelen getroffen worden om de risico’s te verkleinen.

Het is dan ook verstandig om, voordat u uw product lanceert, deze al privacyvriendelijk in te richten en een DPIA af te nemen. De producten worden

dan aangeboden op grond van beginselen van privacy by design dan wel privacy by default.

Register van verwerkingsactiviteiten

Een andere maatregel is de invoering van de documentatieplicht en verantwoordingsplicht. Organisaties met in beginsel meer dan 250 werknemers zijn verplicht een register bij te houden waarin zij alle verwerkingen en soorten persoonsgegevens opnemen. Verwerkt uw organisatie structureel ook bijzondere gegevens, hier komt u al snel aan zodra u werknemers in dienst heeft, dan geldt de verplichting tot het bijhouden van een register ook voor u. Ook moeten de getroffen beveiligingsmaatregelen, bewaartermijnen en subbewerkers hierin worden opgenomen. Zo heeft de organisatie in één document of systeem een overzicht van de persoonsgegevens binnen de organisatie, waarom deze worden verwerkt en hoe daarmee omgegaan wordt.

Technische en organisatorische maatregelen

Naast voormelde maatregelen verlangt de AVG van ondernemers dat zij technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen. Het is dan ook van belang regelmatig de digitale beveiliging kritisch tegen het licht te houden, want dit maakt de kans op beveiligingsincidenten die een meldingswaardig datalek opleveren kleiner. Ga dan ook in overleg met de ICT-afdeling en onderzoek of op het gebied van beveiliging nog stappen te maken zijn. Naast de technische maatregelen zal natuurlijk ook kritisch gekeken worden naar de werkprocessen. Meer weten over datalekken? Bekijk dan onze pagina over datalekken.

Privacybeleid

Verder verdient het aanbeveling een gegevensbeschermingsbeleid op te stellen. Dit kan een organisatie op de website plaatsen, of intern beschikbaar stellen. Zo kunnen klanten, consumenten, leveranciers en ook werknemers zien hoe de organisatie met persoonsgegevens omgaat.

Advies privacywetgeving nodig?

Bent u niet zeker of uw bedrijf voldoet aan de (nieuwe) vereisten voor de verwerking van persoonsgegevens? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de AVG en privacywetgeving. Wij kunnen u dan ook in het gehele proces adviseren. Maar ook wanneer u een betrokkene bent en meent dat uw privacy wordt geschonden, kunnen wij u helpen hier tegen op te treden. Schroom niet om contact op te nemen met één van onze specialisten.

Meer weten over onze dienstverlening?
Neem contact op
Alle advocaten binnen het rechtsgebied Privacyrecht
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: