Als nieuwe Europese privacywet is de Algemene Verordening Gegevensbescherming (AVG) erop gericht om burgers te beschermen tegen diefstal van privacygevoelige gegevens en andere datalekken. De nieuwe wet is sinds mei 2018 in de hele EU van toepassing.

Aanvullende rechten voor burgers

De AVG bouwt voort op de in 2016 ingevoerde Wet bescherming persoonsgegevens (Wbp) en geeft individuele burgers een aantal aanvullende rechten:

  • Burgers hebben al het recht om organisaties te vragen hun persoonsgegevens te verwijderen (recht op vergetelheid). Straks hebben zij eveneens het recht te eisen dat de organisatie deze verwijdering doorgeeft aan alle partijen die deze gegevens hebben verkregen.
  • Daarnaast hebben burgers het recht op dataportabiliteit. Dit houdt in dat zij het recht hebben om alle persoonsgegevens die een organisatie van hen heeft te ontvangen in één overzichtelijk document.

Waar moet je rekening mee houden?

In welke branche je ook actief bent, iedere organisatie beschikt over de nodige privacygevoelige gegevens. Denk hierbij aan klantgegevens, legitimatiebewijzen (of kopieën hiervan), bankgegevens en persoonsgegevens van werknemers. De AVG is erop gericht dat deze informatie adequaat en veilig opgeslagen, gebruikt en beheerd wordt.

GDPR

Bovendien zijn er voor organisaties nieuwe richtlijnen als het gaat om het verstrekken van persoonsgegevens. De belangrijkste is dat zij moeten kunnen aantonen dat zij toestemming hebben gekregen van de betrokkene om zijn/haar gegevens te verstrekken.

AVG verplichtingen voor bedrijven

Maar er zijn meer verplichtingen:

  • Verantwoordingsplicht/documentatieplicht; je moet met documenten kunnen aantonen dat je de juiste organisatorische én technische maatregelen hebt getroffen om te voldoen aan de GDPR.
  • Verwerkersovereenkomst; maak je voor de verwerking van persoonsgegevens gebruik van een verwerker? Dan ben je verplicht om dit vast te leggen in een schriftelijke overeenkomst.
  • Meldplicht datalekken; deze is vergelijkbaar met de huidige meldplicht en moet binnen 72 uur na ontdekking verstuurd worden.
  • Data Protection Impact Assessment (DPIA); je kunt worden verplicht tot het uitvoeren van een DPIA wanneer gegevensverwerking een hoog risico oplevert. Dit is het geval als een organisatie:
    • Systematisch en uitvoerig persoonlijke aspecten evalueert;
    • Op grote schaal bijzondere persoonsgegevens verwerkt (ziekenhuizen, verzekeringsmaatschappijen, internetproviders etc.);
    • Op grote schaal en systematisch mensen volgt in een public area.
  • Aanstellen Data Protection Officer (DPO); je kunt worden verplicht tot het aanstellen van een FG als je een overheidsinstantie bent, op grote schaal bijzondere persoonsgegevens verwerkt of op grote schaal mensen volgt.

Wat kun je doen om klaar te zijn voor de AVG?

Ook al is de deadline reeds verstreken, dat wil niet zeggen dat het niet meer nodig is om maatregelen te treffen. In grote lijnen zijn er drie zaken waar u aan moet voldoen om AVG-compliant te zijn:

  1. Een goede security architectuur voor uw IT-security. Uw Data Beveiligd kan je daarbij helpen.
  2. Het opstellen van interne procedures, deze vastleggen in documenten en duidelijke afspraken maken met partijen die als derden mogelijk persoonsgegevens verwerken.
  3. Iedereen binnen de organisatie op de hoogte stellen van dit beleid en ze informeren over best practices.

Ook jouw organisatie zal stappen moeten zetten om te werken conform de AVG. Doe je dit niet, dan riskeer je fikse boetes die kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet. Bovendien zal de Autoriteit Persoonsgegevens, naar mate de AVG langer in werking is, het toezicht intensiveren en hogere boetes uitdelen.

Wil je weten wat je moet doen om volledig conform de AVG te werken? Of heb je een andere vraag over de nieuwe wetgeving? Neem gerust contact met ons op.