De Algemene verordening gegevensbescherming (AVG) is de naam van de nieuwe Europese privacywetgeving. Vanaf 25 mei 2018 zullen alle organisaties conform deze wet moeten werken. Bedrijven of instellingen die dat verzuimen, kunnen geconfronteerd worden met boetes tot 20 miljoen euro of 4% van hun wereldwijde jaaromzet.
De Autoriteit Persoonsgegevens (AP) heeft een tienstappenplan gepubliceerd waarmee organisaties zich beter kunnen voorbereiden op deze nieuwe wet. Samen met de andere Europese privacytoezichthouders heeft de AP ook richtlijnen gepubliceerd die toelichten wanneer en hoe een privacy impact assessment (PIA) uitgevoerd dient te worden.
Meer rechten én verplichtingen
In de nieuwe wet worden de privacyrechten van mensen verbeterd. Organisaties die persoonsgegevens verwerken, krijgen een grotere verantwoordelijkheid om aan te tonen dat zij conform de nieuwe wet werken. Om de regels goed te implementeren, raadt de AP aan om er tijdig mee te starten. De Nederlandse privacywaakhond heeft hiervoor een stappenplan opgesteld, waarin onderstaande tien stappen worden behandeld.
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
Privacy impact assessment
Een privacy impact assessment is een instrument om vooraf de privacyrisico’s van dataverwerking te inventariseren. Aan de hand van deze inventarisatie kan beleid gemaakt worden om de risico’s te minimaliseren.