Klaar voor de AVG?
De AVG moet ervoor zorgen dat consumenten meer controle krijgen over hun eigen data en stelt daarom strengere eisen aan de verwerking van gegevens. Je moet vanaf 25 mei bijvoorbeeld kunnen aantonen dat je toestemming van een persoon hebt gekregen om diens gegevens te verwerken, bijvoorbeeld voor het versturen van een nieuwsbrief. Had je al toestemming, dan hoef je waarschijnlijk niet opnieuw toestemming te vragen. Daarnaast konden mensen al langere tijd hun gegevens inzien, laten aanpassen en verwijderen. Onder de AVG worden deze rechten uitgebreid. Alle nieuwe verplichtingen in de AVG hebben grote impact op de bedrijfsvoering van uitgevers, en vergen grote voorbereidingen op juridisch, organisatorisch en technisch vlak.
Uit de AVG Status Check van DDMA, waarin wordt gevraagd naar de stand van zaken op verschillende onderdelen van de AVG, blijkt dat uitgevers 2,34 op een schaal van 4 scoren. Dat is weliswaar iets bovengemiddeld, maar laat vooral zien dat uitgevers zeker nog niet voldoen aan alle verplichtingen. Er zijn bovendien maar weinig onderdelen waar uitgevers maximaal op scoren. Er is dus nog veel werk aan de winkel. Deze drie tips helpen je alvast op weg.
Tip 1: Maak belangrijke personen binnen jouw organisatie bekend met de AVG
Breng verantwoordelijken en uitvoerders op het gebied van IT, marketing, data, beveiliging en juridische zaken bij elkaar en zorg voor een plan van aanpak. Dat is de basis van een succesvolle implementatie van de AVG. De volgende stap is interne communicatie: iedereen binnen de organisatie die met persoonsgegevens werkt, moet weten wat er wel en niet is toegestaan en wat de gevolgen zijn. Een datalek kan immers overal in de organisatie optreden. Investeer daarom in trainingen en kennissessies en zorg voor blijvende bewustwording.
Tip 2: Controleer of het verplicht is om een functionaris gegevensbescherming aan te stellen
De Functionaris Gegevensbescherming (FG, of Data Protection Officer) controleert bedrijven met betrekking tot privacy en databescherming. Deze FG – in dienst of extern – ziet er op toe dat jouw organisatie de AVG naleeft, als een soort verlengstuk van de Autoriteit Persoonsgegevens. Voor sommige organisaties is het verplicht een FG aan te stellen, bijvoorbeeld als je op grote schaal bijzondere persoonsgegevens verwerkt (zoals gegevens over gezondheid, ras of politieke voorkeur) of wanneer dataverwerking nodig is voor het uitvoeren van de kerntaak van de organisatie. De kans is dus groter dat dit geldt voor een grote uitgeverij met meerdere landelijke nieuwsmedia onder zich dan voor een kleine, zelfstandige uitgeverij van geschiedenisboeken. Dit is echter moeilijk van buitenaf te beoordelen. Controleer daarom zo snel mogelijk zelf of dit ook voor jouw organisatie geldt, zodat je indien nodig tijdig een FG kan aanstellen.
Tip 3: Breng in kaart welke persoonsgegevens in jouw organisatie verwerkt
Onder de AVG moeten organisaties kunnen laten zien dat zij zich houden aan de privacywetgeving. Ook moet je kunnen aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag. Een nieuwe verplichting onder de AVG is het ‘verwerkingenregister’. Dit zal voor vrijwel iedere uitgever wettelijk verplicht zijn vanaf 25 mei 2018. Zorg er dus voor dat je voor die tijd alle data in je organisatie in kaart brengt in een register. Dit wordt ook wel ‘data mapping’ genoemd. Heb je voor bepaalde gegevens geen rechtmatige grondslag (toestemming is één van die grondslagen), dan ben je wettelijk verplicht om ze te verwijderen. Hetzelfde geldt als de gegevens niet meer nodig zijn, iedere verwerking van persoonsgegevens (opslaan is ook een verwerking) heeft een doel nodig. Dit proces neemt behoorlijk wat tijd in beslag, maar een bijkomend voordeel is dat je meer inzicht krijgt in de datastromen binnen jouw organisatie. Dit helpt je processen efficiënter in te richten en nieuwe verplichtingen onder de AVG helder te krijgen.
Op 17 mei organiseert DDMA een AVG Vragen(v)uur, waarbij uitgevers of dienstverleners actief in de uitgeefsector live vragen kunnen stellen aan Matthias de Bruyne en andere privacyjuristen.
Een algemene checklist om in 10 stappen naar een goede implementatie van de AVG te komen is hier te downloaden .