Foreword

At the third printing Since the appearance of the second edition of this book in March 2018, the necessary official publications have appeared, which are relevant for the application and interpretation of the AVG. The European Article 29 Working Party and its successor, the European Data Protection Board, have published a dozen new guidelines. The AP has published new fining policies. In addition, the Autoriteit Persoonsgegevens (AP) and government agencies have intensified their focus on providing information on the (interpretation of the) AVG, through various information sites and on the AP's own website. The European Court of Justice has issued some important rulings on key concepts of the AVG. Finally, the text of the UAVG has undergone several technical changes and new rules on the supervision of payment service providers have been incorporated into the UAVG. This third edition contains an update of the existing checklists. In addition, a number of new checklists have been added, increasing the number from 46 to 57. The checklists have been regrouped. However, the main structure of the book has remained unchanged. The reference contains the current text of the AVG (including the corrigendum from PbEU 2018, L 127/2 dated 23.5.2018) and of the UAVG. The Wbp also remains available in the reference for convenience. We express the hope that this book can make a useful contribution to keeping your business operations "AVG-proof." The sources have been consulted up to July 2019. At the second printing Since the publication of the first edition of this book in 2016, the significance of the General Data Protection Regulation (AVG) for practice has become increasingly clear. On December 12, 2017, an AVG implementation bill was introduced in the House of Representatives (UAVG). It was adopted by the Lower House on March 13, 2018 and sent to the Senate. European privacy regulators have provided their explanations of the provisions of the AVG through a large number of new or revised opinions. As of May 25, 2018, the Wbp expired. Existing obligations have been amended and new obligations have been introduced. The second edition incorporates these developments. The first edition still bore the signature of transition from Wbp to AVG. The second edition is fully based on the AVG. The first edition contained 32 checklists. The number of checklists has been greatly expanded in the second edition. The content of the checklists has been updated. New topics (DPIA, privacy by design, data portability, profiling, leading regulator, obligation to register, etc.) are discussed in detail. Also new is the addition of a penalty table. This cannot be missing in the new regime. The checklists contain specific references to both the AVG (including the recitals), the relevant provisions in the UAVG and the opinions of European privacy regulators. For convenience, the second edition still includes the legal text of the Wbp. It also includes the text of the Implementation Act submitted to the Senate on March 13, 2018. Chapter 8 of the Explanatory Memorandum to the Implementation Act is also included. This contains a clear implementation table (transposing AVG to UAVG to WBP). The AVG-WBP transposition table from the first edition has thus been dropped. For the second edition, in addition to the table Wbp -> AVG, a new transposition table has been included (UAVG -> AVG) as well as a checklist related to the transition situation from Wbp to AVG. We express our hope that this booklet will be a useful contribution to your implementation work. The sources were consulted up to March 2018. 's-Hertogenbosch, March 2018 To the first printing Setting up a practical and sound privacy policy Zorg voor privacy is geen vrijblijvende aangelegenheid. Dagelijks verschijnen in de media berichten over nieuwe wettelijke regels, datalekken, hacks, onderzoeken van toezichthouders en hoge boetes. Berichten die relevant zijn voor werkgevers en medewerkers, overheidsinstellingen en burgers alsmede voor bedrijven en consumenten. Bij het gebruiken van computers en smartphones wordt men steeds vaker geconfronteerd met verwijzingen naar privacy policies. Frequent wordt gevraagd om toestemming voor het gebruik van persoonsgegevens. De hoeveelheid wettelijke regels op het gebied van privacybescherming neemt toe. De Algemene Verordening Gegevensbescherming (‘AVG’) [Verordening (EU) 2016/679] van 24 mei 2016, die op 25 mei 2018 in werking gaat treden, zal gevolgen hebben voor alle organisaties en hun gegevensverwerkende processen. Met name omdat er meer eisen gesteld worden op het gebied van het informeren van klanten en medewerkers, het beveiligen van gegevens en het in control zijn. Organisaties doen er daarom verstandig aan zich tijdig te bezinnen op de betekenis van deze verordening. Wij zien in de praktijk veel organisaties binnen de overheid en het bedrijfsleven worstelen met de vraag of zij nog voldoen aan de vele eisen die de privacywetgeving aan hen stelt, welke risico’s zij lopen als zij niet (meer) compliant zijn en wat zij moeten doen om alsnog compliant te worden. Het compliant maken van een organisatie vereist een serieuze inspanning. Startpunt daarbij is het in kaart brengen van de bedrijfsprocessen, zodat duidelijk wordt waar de risico’s zitten. Vervolgens moeten er maatregelen worden getroffen om deze risico’s blijvend te minimaliseren. Er moeten procedures komen voor inzage en correctie. Bewaartermijnen moeten worden vastgesteld. Er moeten procedures komen voor de afwikkeling van datalekken. Websites en communicatieprocessen moeten worden aangepast. Medewerkers zullen daarbij worden ondersteund via zogeheten bewustwordingsprogramma’s. Ook zal soms de discussie met het publiek moeten worden aangegaan. Het compliant maken van een organisatie is dus uitdagend. Het is bovendien geen vrijblijvende aangelegenheid. Niet compliant zijn kan voor de organisatie tot negatieve gevolgen leiden. Maar, waar moet je beginnen, en hoe houd je overzicht? Het vaststellen van een privacybeleid en het vastleggen daarvan in een privacy policy kan helpen bij het in kaart brengen van de belangrijkste aandachtspunten en vormt een goede stap in de richting van een deugdelijk compliance programma op het gebied van privacy. Een privacy policy kan algemeen zijn van aard of specifiek inzoomen op bepaalde domeinen zoals personeel of klanten. Dit boekje helpt bij het opzetten van zo’n praktische en deugdelijke privacy policy. Onze insteek daarbij is geweest om de checklists voor een brede doelgroep toegankelijk te maken, van juristen en compliance officers tot managers, ICT’ers en auditors, zonder daarbij te veel te verwijzen naar relevante wetsartikelen. Uiteraard bevat de bundel wel de teksten van de Wbp en de AVG (inclusief twee handige transponeringstabellen) zodat u als lezer alle relevante informatie binnen handbereik heeft (zie ook hierna onder ‘naslag’). Dit boekje bestaat uit checklists op hoofdlijnen. Ter toelichting daarop het volgende. In hoofdstuk 3 wordt een schets gegeven van de voorbereiding op het schrijven van een privacy policy. Het is belangrijk dat deze voorbereidingen op een voldoende hoog niveau binnen de organisatie worden gedragen. In hoofdstuk 4 wordt aangegeven waarom de ‘tone at the top’ essentieel is voor het succesvol implementeren van uw privacy policy. In hoofdstuk 5 wordt een aantal algemene aandachtspunten bij het opstellen van een privacy policy genoemd. Het opstellen van een privacy policy begint vervolgens met het vaststellen wie er verantwoordelijk zijn voor de verwerking van persoonsgegevens (hoofdstuk 6) en voor welk doel persoonsgegevens worden verwerkt (hoofdstuk 7). Hoofdstuk 8 gaat in op de vraag welke informatie beschikbaar moet zijn om in control te kunnen zijn en verantwoording te kunnen afleggen (accountability). Hoofdstuk 19 gaat in op het vaststellen van bewaartermijnen. Afhankelijk van de omvang van uw organisatie kan het raadzaam zijn een privacy-coördinator of een formele Functionaris voor de gegevensverwerking (“FG”) aan te stellen. Dat kan een parttime activiteit zijn die gecombineerd kan worden met een al bestaande functie. Voor sommige organisaties zal een FG verplicht worden. Aandachtspunten voor de FG (of een eventuele coördinator) zijn opgenomen in hoofdstuk 9. Centraal onderdeel van de implementatie is de inrichting van een beveiligingsorganisatie en het signaleren en afhandelen van inbreuken. Hoofdstukken 10 (beveiliging), 11 (datalekken), 20 (auditplan) en 21 (onderzoek door toezichthouder) geven daarbij guidance. De verantwoordelijkheid van organisaties strekt zich ook uit tot de (al dan niet in de cloud) uitbestede verwerking van persoonsgegevens. De wet stelt eisen aan een dergelijke uitbesteding. Hoofdstuk 12 geeft een overzicht van daarbij relevante aandachtspunten. Hoofdstuk 13 is van belang bij grensoverschrijdend persoonsgegevensverkeer buiten Europa. Het boekje bevat daarnaast diverse andere checklists die behulpzaam zijn bij het uitwerken van onderdelen van de privacy policy:

regarding the rights of a data subject, we refer to the checklists for requesting consent (chapter 14) and checklists for setting up procedures for providing information (chapter 16), inspection (chapter 17) and correction (chapter 18);
Chapter 15 pays attention to different rules with respect to minors;
chapters 22 to 28 elaborate on themes related to personnel;
chapters 29 to 32 address e-Commerce related topics.

Postscript. Until May 25, 2018, we are still dealing with the Data Protection Act. From that date, new legislation based on the AVG will apply. To easily switch between the Wbp and the AVG, a reference with the texts of both regulations has been included in this booklet. Also included are transposition tables that can be used to look up the corresponding provision in the AVG from the Wbp and vice versa. It should be borne in mind that the AVG leaves some topics (e.g. the processing of criminal data) to the national legislator for further elaboration. No concrete proposals of such elaborations have yet been published. Also, the legislator can still deviate from the AVG on some topics in general or sector-specific rules. The booklet concludes with a list of abbreviations used and an overview of documentation referred to in the booklet. We wish you success in preparing your organization for the upcoming introduction of the AVG.