Uw privacy gewaarborgd

Veiligheid voor alles

Wat is AVG/GDPR en wat moet u ermee?

Gepubliceerd op 1 maart 2018

De AVG is de Europese wet (EU / GDPR - General Data Protection Regulation) die in Nederland de plek van de Wet bescherming persoonsgegevens overneemt. 

De AVG is 24 mei 2016 in werking getreden en wordt 25 mei 2018 van kracht. Zo kregen organisaties twee jaar de tijd om compliant te worden aan de AVG. De AVG (Algemene Verordening Gegevensbescherming, ook bekend onder de Engelse afkorting GDPR) geldt voor elke ondernemer of organisatie die te maken heeft met persoonsgegevens. Elke ondernemer heeft klanten en de naam van uw klant is al een persoonsgegeven.

Welke zaken zijn relevant

Bewustwording

Hier begint het. Zorg dat u weet wat er moet gebeuren binnen uw organisatie. Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Betrek uw medewerkers er bij. Weet welke persoonsgegevens u verwerkt en hoe (inventariseer).

Persoonsgegevens verzamelen

Onder persoonsgegevens vallen natuurlijk namen, adressen, telefoonnummers, ipnummer en e-mailadressen. De KvK-gegevens van eenmanszaken en VOF’s zijn meestal ook persoonsgegevens. Let op, onder de AVG worden een zakelijk doorkiesnummer en zakelijk e-mailadres ook als persoonsgegevens gezien. Bijzondere en gevoelige persoonsgegevens zijn onder meer een BSN-nummer, geloofsovertuiging, seksuele voorkeur, ras en medische of biometrische gegevens. Deze mogen minder snel verzameld worden dan de algemene persoonsgegevens. Lees meer.

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Rechten van betrokkenen

Alle rechten en plichten van betrokken moeten in procedures worden vastgelegd en beschikbaar gesteld. Inclusief het recht om vergeten te worden, recht op inzage en recht op dataportatie. Lees meer.

Verantwoordingsplicht

De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy. Lees meer.

Overzichten verwerkingen van persoonsgegevens

In een verwerkingsregister legt u vast hoe persoonsgegevens worden verwerkt. Dit register moet alle verwerkingsactiviteiten bevatten. In sommige gevallen dient u als organisatie een DPIA (Data Privacy Impact Assesment) uit te voeren. Dit kan zijn indien u bijzondere persoonsgegevens verwerkt. Ook bij de implementatie van nieuwe technologie voor persoonsgegevens is een DPIA verplicht. Lees meer.

Privacy by Design en Privacy by Default

Met name software biedt middelen om zaken standaard in te richten op een manier die AVG compliant is. Denk aan de inrichting van uw CRM systeem, uw webformulieren, een firewall installatie, encryptie van data, back-up organiseren, toegangsbeveiliging etc. Lees meer.

Functionaris Gegevensbescherming

Het aanstellen van een functionaris gegevensbescherming is afhankelijk van het soort gegevens en de aard van de verwerking. Een functionaris mag intern of extern worden benoemd.

Meldplicht Datalek

Een datalek is een beveiligingsincident. Maar niet elk beveiligingsincident is een datalek. Het incident moet worden geclassificeerd en analyse moet uitwijzen wat er gelekt is. Tip; zorg voor encryptie bij uw dataverkeer. U dient ook een procedure op te stellen rondom een datalekincident. En u dient een incidentenregister bij te houden. Lees meer.

Verwerkersovereenkomsten

In deze verplichte overeenkomst (onder de Wbp bekend als bewerkersovereenkomst) tussen de verantwoordelijke en de verwerker staan een aantal zaken;

  • doel van de verwerking en soort gegevens
  • categorieën van betrokkenen en identificatie van rechten
  • passende beveiliging en voorwaarden voor audit
  • na afloop vernietigen of teruggeven
  • toestemming voor inschakelen derden door verwerker
  • bewaartermijnen, meldplichtprocedure

Verwerken wordt ruim geïnterpreteerd, ook inzien is verwerken. Lees meer.

Toestemming

U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de AVG. Eén van die grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Maar de manier waarop u toestemming vraagt moet wel voldoen aan een aantal specifieke eisen. Lees meer.

Autoriteit Persoonsgegevens

In Nederland is Autoriteit Persoonsgegevens de instantie de toezichthouder op de wet. Vanuit die hoedanigheid kan deze instantie boetes opleggen bij het niet naleven van de wet.

Bron: Autoriteit Persoonsgegevens