Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Vier punten waar u aan moet denken bij het toepassen van de AVG

31 maart 2017Informatiemaatschappij

Op 25 mei 2018 moeten alle decentrale overheden voldoen aan de verplichtingen uit de Algemene verordening gegevensbescherming (AVG). Dit houdt in dat overheden bij het verwerken van persoonsgegevens de AVG in acht moeten nemen. Om hier goed op voorbereid te zijn, hebben wij vier cruciale punten voor u op een rij gezet waar u in 2018 aan moet voldoen.

Aanstellen Functionaris voor Gegevensbescherming

Alle overheden moeten op uiterlijk 25 mei 2018 een Functionaris voor Gegevensbescherming (FG) aangesteld hebben. Een FG kan meerdere organen dienen, een bestuursorgaan hoeft er dus niet een zelfstandig in dienst te nemen. Deze FG is onder andere verantwoordelijk voor het privacy-bewustzijn van de medewerkers van de gehele organisatie, van de frontdeskmedewerker tot de Europa-jurist. De FG moet daarnaast toezien op de naleving van de AVG.

Registratieplicht

Momenteel moeten decentrale overheden, ingevolge de Wet bescherming persoonsgegevens (Wbp), de verwerking van persoonsgegevens vóóraf melden bij de Autoriteit Persoonsgegevens (AP) of bij de FG. Per 25 mei 2018 verdwijnt deze plicht. Wel moet de verantwoordelijke voor de verwerking van persoonsgegevens een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen (art. 30 AVG).

PIA

In bepaalde gevallen moeten decentrale overheden – wanneer zij persoonsgegevens verwerken – een Privacy Impact Assessment (PIA) uitvoeren. In sommige gevallen is dit verplicht. Bijvoorbeeld wanneer bijzondere persoonsgegevens verwerkt worden. Wanneer de verwerking van persoonsgegevens gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van personen, dan is een PIA zeer aan te raden. In deze praktijkvraag leest u meer over de PIA.

Meldplicht datalekken

Gaat het mis en vindt er een inbreuk in verband met persoonsgegevens plaats, dan moet de betreffende decentrale overheid dit binnen 72 uur melden bij de AP. In sommige gevallen moet ook de betrokkene (het slachtoffer) op de hoogte gesteld worden.

Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show

De AVG moet over ongeveer een jaar door alle decentrale overheden toegepast worden. Uitgebreide informatie hierover leest u in het verdiepende artikel ‘Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show’.

Door:

Femke Salverda en Lycke van Leusden, Europa decentraal

Meer informatie

Themapagina privacy, Europa decentraal
Autoriteit Persoonsgegevens
Functionaris voor Gegevensbescherming, Europa decentraal
Register, Europa decentraal

X