Door: Arjan de Knegt 21-11-2017
In de twee voorgaande blogs heb je kunnen lezen wat de AVG inhoudt voor de recruitmentbranche en wat de gevolgen zijn voor de consumentenbescherming. In deze laatste algemene blog geven we een korte samenvatting van het stappenplan van de Autoriteit Persoonsgegevens om je in 10 stappen voor te bereiden op de verandering. Hierna gaan we dieper in welke voorbereidingen je al van OTYS kunt verwachten over dit onderwerp.
Een stap die voor zichzelf spreekt. In je organisatie moet duidelijk worden wat voor impact de AVG heeft en de verantwoordelijke mensen moeten hierover ingelicht zijn. De AVG kan van grote invloed zijn op je organisatie, wees er dus zeker van dat je alle maatregelen voor 28 mei kunt realiseren!
Zoals je eerder hebt kunnen lezen in onze blogs, krijgen consumenten meer rechten onder de AVG. Zorg er daarom voor dat je in beeld hebt wat deze rechten zijn en hoe je hier snel en adequaat op kunt reageren.
Het is belangrijk om je gegevensverwerking in kaart te brengen. Hiermee wordt bedoeld dat je moet documenteren welke gegevens verwerkt worden en met welk doel dit gebeurt, waar je de gegevens vandaan hebt en met wie ze gedeeld worden. Doordat consumenten meer rechten krijgen is deze documentatie van belang als er een beroep wordt gedaan op bijvoorbeeld het wijzigen of verwijderen van de persoonsgegevens. Volg je deze stappen? Dan voldoe je aan de verantwoordingsplicht. Dit houdt in dat je organisatie kan aantonen dat het volgens de AVG handelt.
Het laatste punt wat van belang is voor de documentatie is om te vermelden volgens welke wettelijke grondslag persoonsgegevens worden verwerkt. Dit kan een gerechtvaardigd belang zijn of dat je toestemming vraagt aan de betrokkenen. Wat betreft de wettelijke grondslagen zijn er weinig veranderingen ten opzichte van de Wbp.
De DPIA is een instrument om van tevoren de privacyrisico’s van persoonsgegevens in kaart te brengen om hier vervolgens deze risico’s te kunnen verkleinen. Een DPIA moet je uitvoeren als de verwerking van persoonsgegevens een verhoogd risico met zich meebrengen. Zo kun je een inschatting maken of je DPIA’s moet maken en op welke manier je dit gaat aanpakken.
Blijkt uit een DPIA dat er een risico is die je als organisatie niet kunt oplossen? Dan moet je dit bij de Autoriteit Persoonsgegevens (AP) melden voordat je met de verwerking aan de slag gaat. De AP bepaald of het in strijd is met de AVG en brengt eventueel een schriftelijk advies uit.
Deze twee begrippen hebben we beschreven in onze blog ‘AVG & consumentenbescherming’.
De Functionaris voor de gegevensbescherming (FG) is onder de AVG niet in alle omstandigheden verplicht, maar je organisatie mag deze wel vrijwillig aanstellen. Check of een FG verplicht is voor jouw organisatie via deze link.
De meldplicht datalekken wordt niet veel verandert onder de AVG. In een eerdere blog kun je nalezen hoe dit in de Wbp is geregeld. De AVG hanteert wel strengere eisen aan de registratie van datalekken die binnen een organisatie hebben plaatsgevonden. Omdat de AP moet controleren dat aan de meldplicht is voldaan, moeten alle datalekken gedocumenteerd worden. Voorheen werden enkel de gemelde datalekken gecontroleerd.
Het wordt verplicht om met alle leveranciers en afnemers een bewerkersovereenkomst af te sluiten. In deze overeenkomst komen specifieke afspraken te staan die zijn gemaakt over de omgang met persoonsgegevens. Een belangrijk punt voor de recruitmentbranche: wanneer er diensten worden aangeboden waarbij persoonsgegevens zijn betrokken, dan is er toestemming nodig van de betrokken consument.
De leidende toezichthouder is op je organisatie van toepassing als deze is gevestigd in meerdere EU-lidstaten of als de gegevensverwerking impact heeft in meerdere lidstaten. Onder de AVG wordt afgesproken dat er voor alle verschillende vestigingen één centraal leidende toezichthouder wordt aangesteld die als eerste verantwoordelijk is voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen.
De AVG gaat strenger kijken naar de manier waarop toestemming wordt gevraagd om persoonsgegevens te mogen verwerken. Je moet daarom goed evalueren op welke wijze je organisatie toestemming vraagt, krijgt en registreert. In de AVG is een nieuwe regel opgenomen dat je moet kunnen aantonen dat je toestemming hebt gekregen om gegevens te verwerken en dat deze op een eenvoudige wijze zijn aan te passen.