Deloitte blog: Europese Privacy Wetgeving. Verdieping en Praktische Tips.

6 minuten leestijd (1193 woorden)
Bedrijven en individuen zijn allebei wakker geschud door de ontwikkelingen op het gebied van privacy. Individuen vinden het steeds belangrijker dat hun gegevens goed beschermd worden en bedrijven hebben aandacht voor de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) die vanaf mei 2018 van toepassing zal zijn. Privacy wordt steeds belangrijker in onze samenleving en dat is ook te merken in de media-aandacht ervoor.
Nu het aftellen naar de AVG is begonnen en bedrijven zo goed mogelijk voorbereid willen zijn, helpen wij jullie graag verder met verdieping op het onderwerp en een paar praktische tips. Deze tips zijn gebaseerd op vragen uit vorige IAB ontbijtsessies en op onze ervaring in de markt als privacy professionals.
Praktische tips van privacy professionals
Wat kan je als organisatie nog doen om je voor te bereiden op de nieuwe privacyregels?
  1. Zorg voor privacy bewustzijn binnen de organisatie
  2. Breng je verwerkingen in kaart en ken je risico’s
  3. Toestemming is niet altijd de makkelijkste oplossing
 
  • Zorg voor privacy bewustheid binnen de organisatie
Het klinkt misschien vanzelfsprekend, maar om privacy te kunnen waarborgen binnen een organisatie is het van belang dat de medewerkers op de hoogte zijn van ontwikkelingen op dit gebied. Dit geldt voor iedereen binnen het bedrijf en vooral voor de werknemers die met persoonsgegevens werken. Denk hierbij bijvoorbeeld aan degene die inzicht heeft in persoonsgegevens voor het sturen van direct marketing. Er zijn een aantal manieren om je organisatie meer privacy bewust te maken. Je zou kunnen beginnen met het opstellen of updaten van de Privacy Statement (of Privacy Policy). Een Privacy Statement is een document waarin de organisatie onder andere vastlegt hoe er met persoonsgegevens om wordt gegaan en wat de verwachtingen zijn op dit gebied. Het Privacy Statement moet niet op de juridische afdeling komen te liggen, maar moet binnen de organisatie gaan leven. Zorg er daarom voor dat het de actuele situatie weergeeft en dat werknemers weten hoe ze de informatie kunnen gebruiken in hun werkzaamheden. Het intern beleggen van privacy taken en het scheppen van een gevoel van verantwoording voor privacy zou hierbij kunnen helpen!
  • Breng je verwerkingen in kaart en ken je risico’s
Deze tip herken je wellicht van onze vorige blog maar dat maakt de tip niet minder belangrijk! Een organisatie die persoonsgegevens verwerkt moet namelijk altijd in staat kunnen zijn om aan te tonen dat er in overeenstemming met de wetgeving wordt gehandeld. Breng je verwerkingen van persoonsgegevens in kaart en leg dit vast in een register. Leg onder andere vast wat voor persoonsgegevens er verwerkt worden, hoe die verzameld worden, met wie ze gedeeld worden etc. Met een overzicht van de type verwerkingen is het ook eenvoudiger om privacy risico’s te identificeren. Indien de organisatie bijvoorbeeld gevoelige persoonsgegevens verwerkt, zoals gezondheidsinformatie of kopieën van paspoorten, dan moet er een lampje gaan branden dat er extra maatregelen dienen te worden getroffen om de privacy te kunnen waarborgen. Voordat het lampje gaat branden moet je wel eerst weten wat voor verwerkingen er plaatsvinden.
  • Toestemming is niet altijd de makkelijkste oplossing.
Het verwerken van persoonsgegevens is rechtmatig indien het gebeurt op basis van een gerechtvaardigde grondslag in de wet. De AVG biedt een aantal wettelijke grondslagen, waar toestemming er een van is. Indien er geen andere wettelijke grondslag bestaat voor de verwerking van persoonsgegevens, dan zal de verwerking alleen rechtmatig kunnen plaatsvinden op basis van een verleende toestemming. In de praktijk zien we soms dat organisaties ervoor kiezen om toestemming te vragen voor veel verwerkingen terwijl er ook een wettelijke grondslag bestaat. Toestemming wordt soms als de makkelijke oplossing gezien – waarom is dat niet altijd het geval?

De AVG stelt ten eerste hoge eisen aan de wijze waarop iemand zijn toestemming verleent, zoals aangegeven in een van onze eerdere blogs. Toestemming moet gegeven worden door middel van een duidelijk actieve handeling. Het moet een vrije, specifieke en geïnformeerde keuze zijn en moet ondubbelzinnig zijn. Ook hebben individuen het recht om de toestemming te allen tijde in te trekken en dit moet even makkelijk zijn als het geven van de toestemming was. Het intrekken van de toestemming kan ook verdere consequenties hebben. Het intrekken van de toestemming is namelijk een van de zes gevallen waarin het recht om vergeten te worden ingeroepen kan worden door de betrokkene. Indien de betrokkene zich hierop beroept, kan het verzoek worden ingediend om de gegevens te wissen. Verantwoordelijke organisaties hebben maar een korte termijn om te voldoen aan het verzoek tot wissen van gegevens (1-2 maanden, afhankelijk van de specifieke omstandigheden van het geval). Hoewel toestemming op het eerste gezicht dus vrij eenvoudig lijkt te zijn, zijn hier toch extra verplichtingen aan verbonden. Kijk dus goed naar wat de wettelijke grondslagen zijn voor de verwerkingen van persoonsgegevens en of er andere mogelijkheden zijn dan toestemming.

Verwerkingen op basis van toestemming kan desondanks de extra verplichtingen toch wat kansen voor bedrijven creëren om zich te onderscheiden van andere en ze een stapje voor te kunnen zijn in de markt. In dit geval geven we je graag de tip mee om de toestemming te toetsen aan de eisen van de wet. Zijn betrokkenen goed geïnformeerd over de manier waarop de gegevens verwerkt zullen worden en hebben ze een actieve handeling uitgevoerd om hiermee akkoord te gaan? Kan dit ook worden aangetoond indien er vragen over worden gesteld? Indien er bijvoorbeeld gegevens gedeeld zullen worden met een derde partij, zie erop toe dat de betrokkene ook hierover is geïnformeerd en ook actief toestemming heeft gegeven voor het delen met de derde partij.

Vervolg
Uiteraard hebben wij nog meer praktische tips die we graag met jullie willen delen. We kijken ernaar uit om in de volgende ontbijtsessie op 12 september hier verder op in te gaan en jullie vragen te beantwoorden. Graag tot dan!

 
_____________________________________________

 
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business challenges. To learn more about how Deloitte’s approximately 225,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

© 2017 Deloitte The Netherlands