Op 25 mei 2018 is de nieuwe privacywetgeving in werking getreden, beter bekend als “algemene verordening gegevensbescherming” (AVG) of internationaal als “general data protection regulation” (GDPR). Deze wetgeving heeft grote invloed op het beleid rond het omgaan met persoonsgegevens door bedrijven, stichtingen en verenigingen.
De NLPO heeft een video gemaakt waarin een aantal regels voor lokale omroepen omtrent de AVG worden uitgelegd (NB:deze video is voor intern gebruik en niet voor uitzending):
De Autoriteit Persoonsgegevens heeft een korte uitleg van de AVG en een 10-stappenplan. Hiermee krijg je snel overzicht op een aantal belangrijke AVG-thema’s waar je je op moet voorbereiden.
Specifieke vragen over de AVG met betrekking tot (programma’s van) de lokale omroep kun je stellen via info@stichtingnlpo.nl. ovv AVG/DGPR. Deze worden in de FAQ gepubliceerd.
Tevens zijn er al verschillende informatiefilmpjes gemaakt die uitleggen wat de AVG is:
Veranderingen per 25 mei 2018
Met de inwerkingtreding van de AVG verandert onder meer het volgende voor organisaties:
· organisaties hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Organisaties moeten in plaats daarvan een verwerkingsregister bijhouden;
· organisaties kunnen verplicht zijn een data protection impact assessment (DPIA) uit te voeren;
· organisaties kunnen verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen;
Verantwoordingsplicht
Organisaties hebben onder de AVG een grotere verantwoordingsplicht. Dit houdt onder andere in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Daarnaast moeten organisaties kunnen aantonen dat het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer voor een verwerking toestemming nodig is.
Verwerkingsregister
Een van de belangrijkste onderdelen van de verantwoordingsplicht is het bijhouden van een register van de verwerkingsactiviteiten. Het verwerkingsregister is onder andere nodig om aan te tonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
Organisaties moeten dit register op verzoek van AP kunnen overhandigen, zodat zij kan controleren of organisaties de juiste maatregelen hebben getroffen om aan de AVG te voldoen. Verder dient het register schriftelijk opgesteld te zijn, waaronder in een elektronisch format. Naast het opstellen, moet het register uiteraard ook up-to date worden gehouden.
Het verwerkingsregister van verantwoordelijken moet in elk geval de volgende informatie bevatten:
· de naam en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;
· de verwerkingsdoeleinden;
· een beschrijving van de categorieën van betrokkenen;
· een beschrijving van de categorieën van persoonsgegevens;
· de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
· doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties;
· de bewaartermijnen van de verschillende categorieën persoonsgegevens; en
· een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.
Op grond van de AVG zijn ‘bewerkers’ (onder de AVG ‘verwerkers’ genoemd) tevens verplicht om een verwerkingsregister bij te houden. Dit verwerkingsregister hoeft echter minder informatie te omvatten dan het register van verantwoordelijken, namelijk:
· de naam en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;
· de categorieën van verwerkingen die voor elke verantwoordelijke zijn uitgevoerd;
· doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties; en
· een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.
Via deze link kunt u een voorbeeld register van verwerkingsactiviteiten downloaden afkomstig van softwarezaken.nl. Het register is gratis te gebruiken volgens het principe Creative Commons. U mag het gebruiken, aanpassen, doorgeven, zolang u verwijst naar softwarezaken.nl.
Het register bestaat uit meerdere tabbladen die precies overeenkomen met de wettelijk verplichte elementen. Het eerste tabblad kunt u gebruiken om vast te leggen of u een register nodig hebt. Het laatste tabblad bevat de echte wettekst uit de AVG. Hiermee kunt u dus controleren of uw register voldoet aan de wettelijke eisen.
Kleine organisaties
Om rekening te houden met de specifieke situatie van kleine organisaties maakt de AVG een uitzondering op de documentatieplicht. Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafbare feiten betreft. Met name de voorwaarde dat de verwerking ‘incidenteel’ moet zijn brengt zich mee dat de meeste kleine organisaties in de praktijk toch óók een verwerkingsregister moeten bijhouden.