Social top menu

De AVG; Wat kun je verwachten als organisatie

5 januari 2018 Blogs

De AVG (Algemene verordening gegevensbescherming) of GDPR (General Data Protection Regulation) is een nieuwe privacywet voor heel Europa, waaraan alle organisaties die werken met persoonsgegevens vanaf 25 mei 2018 moeten voldoen. De AVG is strenger dan de huidige privacywet en versterkt de rechtspositie van de mensen, waar het de verwerking van persoonsgegevens betreft. De bestaande rechten worden strenger nageleefd en er komen nieuwe privacyrechten bij. Er wordt gestreefd naar een maximaal mogelijke controle voor natuurlijke personen ten aanzien van de eigen persoonsgegevens.
In dit artikel bereiden we je alvast voor op deze nieuwe wet en de veranderingen die deze met zich meebrengt voor de organisatie. Wij zijn niet de expert op het gebied van de AVG, wel hebben wij een externe partij ingeschakeld en zijn we druk bezig om de organisatie AVG-proof te maken. Onze ervaringen en zaken waar wij tegenaan lopen in dit traject, kunnen nuttige tips voor jullie opleveren! Laten we beginnen met wat algemeenheden met betrekking tot de AVG.

Wat zijn persoonsgegevens?

Onder de AVG is het begrip persoonsgegevens veranderd. Het beperkt zich niet meer tot zaken als naam, adres, geslacht en leeftijd, maar omvat allerlei gegevens die direct aan personen kunnen worden gekoppeld. Zo vallen ook gegevens gekoppeld aan IP-adressen, MAC-adressen, cookies en dergelijke onder deze wet. Zelfs als er niet bekend is hoe de persoon achter een cookie heet, moeten deze gegevens als privacygevoelig worden behandeld.

Voorkom hoge boetes!

Als gevolg van de AVG krijgen organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk ligt daarbij – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat is belangrijk, want overtreding kan leiden tot reusachtige boetes (de maximale boete is 20 miljoen euro of 4% van de wereldwijde jaaromzet). Een speciale Europese commissie is ingesteld om toezicht te houden op de juiste toepassing van de AVG. Bereid je daarom goed voor!

Verwerkersovereenkomst

Wanneer een partij het verwerken van bepaalde persoonsgegevens aan een andere partij wil uitbesteden is zij wettelijk verplicht een verwerkersovereenkomst op te stellen. De verwerking van persoonsgegevens moet in deze overeenkomst conform de AVG met voldoende veiligheidswaarborgen zijn omkleed. In de nieuwe wetgeving gaat een bewerkersovereenkomst “verwerkersovereenkomst” heten en zullen de begrippen “verantwoordelijke” en “bewerker” wijzigen in “verwerkingsverantwoordelijke” en “verwerker”.
In een verwerkersovereenkomst worden o.a. de volgende punten vastgelegd;

  • Over welke gegevensverwerking gaat de overeenkomst?
  • Wie zijn de partijen, eventuele sub-verwerkers?
  • Om welk soort gegevens gaat het?
  • Wie is aansprakelijk in het geval van een datalek?
  • Wie is verantwoordelijk voor het melden van datalekken?
  • Welke organisatorische en technische maatregelen moeten genomen worden om een datalek te voorkomen?

Is er sprake van een bestaande bewerkersovereenkomst, controleer dan of deze voldoet aan de nieuwe eisen voor een verwerkersovereenkomst, zoals in de nieuwe privacywet is opgenomen.

Registreren van gegevens

Organisaties met meer dan 250 medewerkers moeten een verwerkingsregister bijhouden waarin staat wie wat doet met de persoonsgegevens en waarom. Ook zaken als bewaartermijn, de wijze van beveiliging en wie daarvoor verantwoordelijk is, moeten zijn opgenomen. Dit geldt ook voor triviale gegevens zoals de personeelsadministratie of een nieuwsbrief.
Organisaties met minder dan 250 medewerkers behoeven alleen zo’n register bij te houden in het geval van risicovolle verwerkingen;

  • verwerkingen die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
  • wanneer de verwerking niet incidenteel is en/of;
  • verwerkingen die vallen onder de categorie bijzondere persoonsgegevens, zoals gegevens over godsdienst, gezondheid, politieke voorkeur of strafrechtelijke gegevens.

Meer informatie over de verantwoordingsplicht kun je vinden op de website van de Autoriteit persoonsgegevens

Meldplicht datalekken

Met de komst van de AVG wordt de meldplicht strenger. Sinds 1 januari 2016 is elke organisatie al verplicht om binnen 72 uur datalekken te registreren en te melden aan de toezichthouder (AP). De bewerker van de gegevens moet de verantwoordelijke op de hoogte stellen van een datalek. Tevens moeten alle datalekken intern worden gedocumenteerd, ook de lekken die niet hoeven te worden gemeld aan de toezichthouder.

De planning nog in Excel? Overweeg maatregelen!

Wanneer in de organisatie nog gebruik gemaakt wordt van spreadsheetsoftware zoals Excel voor het opslaan van persoonsgegevens en het maken van de personeelsplanning, dan wordt aanbevolen om de overstap naar een professionele planningsapplicatie te overwegen. Hiermee voorkomt de organisatie het risico dat zij vanaf 25 mei 2018 niet voldoet aan de nieuwe privacywet.

Ongetwijfeld zullen ook wij tegen zaken aanlopen in ons traject om de organisatie AVG-proof te maken, die wellicht ook voor jullie interessant kunnen zijn in jullie eigen traject. Door middel van tips & tricks willen we de komende periode deze nuttige informatie delen. Blijf op de hoogte en kijk voor meer nuttige tips op onze website

Nuttige links AVG
Autoriteit Persoonsgegevens
ICTRecht

AVG
Auteur:

bio
Wij zoeken nieuwe collega'sBekijk hier onze vacatures!
+