AVG (Privacywet), bent u er klaar voor?

black-android-smartphone-on-top-of-white-book-39584-2

Per 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming ) van toepassing. Vanaf die datum geldt de AVG in de gehele EU.  De Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Wat gaat er veranderen?

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

 

In Nederland is de toezichthouder Autoriteit Persoonsgegevens.

Deze Autoriteit kan een maximale boete opleggen van 20.000.000 of 4% van de jaaromzet.

 

 

 

 

Het doel van de AVG

De nationale wetten in EU zijn gebaseerd op de Europese privacyrichtlijn uit 1995. Deze privacyrichtlijn werd vastgesteld toen internet nog in de kinderschoenen stond. Deze wet voorzag niet meer in het nieuwe speelveld met webwinkels, Social Media, Direct Marketing, Internetbankieren enz.  Bedrijven worden gehackt en er verdwijnen miljoenen gegevens, data wordt doorverkocht, identiteitsfraude. Bij de vooruitgang is dat de keerzijde.

Daarom voorziet deze nieuwe wet in een stevige bescherming van persoonsgegevens.

 

Rechten voor betrokkenen (natuurlijke persoon)

In de AVG wordt een persoon aangeduid als de “betrokkene”. Wij spreken over de persoonsgegevens van de betrokkene.

De privacyrechten van de betrokkene wordt sterker en uitgebreider, zoals:

  • Organisaties moeten toestemming krijgen van de betrokkene om persoonsgegevens te verwerken. Organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen.
  • Betrokkene moet gemakkelijk zonder opgave van reden zijn toestemming in kunnen trekken.
  • Betrokkene heeft recht op inzage.
  • Betrokkene heeft recht op rectificatie
  • Betrokkene heeft recht op gegevenswissing het zgn. “recht op vergetelheid”. De organisatie moet alle persoonsgegevens wissen.
  • Betrokkene heeft recht op beperking van de verwerking van zijn/haar gegevens
  • Betrokkene heeft recht op overdraagbaarheid, het zgn. ”dataportabiliteit”. Betrokkene heeft recht zijn/haar persoonsgegevens in een standaardformaat te ontvangen of kan zelfs eisen dat deze gegevens overgedragen worden aan bijvoorbeeld een andere leverancier. Denk maar aan overstappen van energieleveranciers of zorgverzekeraars.

 

Wat zijn de belangrijkste veranderingen voor organisaties?

Organisaties krijgen een stevige verantwoordingsplicht. In de AVG worden deze  “verwerkingsverantwoordelijke” genoemd.

  • De verwerkingsverantwoordelijke moet kunnen aantonen dat:
  • Zij duidelijk en beknopt de betrokkenen informeert en mee communiceert
  • Zij de rechten van betrokkene ook kan faciliteren (binnen een maand)
  • Zij technische en organisatorische maatregelen treft ter bescherming van de persoonsgegevens
  • Zij een gegevensbeschermingsbeleid voert
  • Zij regelmatig een gegevensbeschermingseffectbeoordeling uitvoert, een zgn. Data Protection Impact Assessment (DPIA)
  • Zij een functionaris voor de gegevensbescherming heeft aangesteld indien zij daartoe is verplicht
  • Zij een “register van verwerkingsactiviteiten” bijhoudt, Indien zij meer > 250 medewerkers heeft

Naast organisaties de Verwerkingsverantwoordelijk zijn, zijn er ook organisaties die aangeduid worden als “Verwerkers”. Verwerkers zijn organisaties die in opdracht van “Verwerkingsverantwoordelijken” persoonsgegevens verwerken. Ook deze “verwerkers” hebben vrijwel soortgelijke plichten.

 

Praktische invulling van de AVG

Stapsgewijs kan de organisatie als volgt te werk gaan:

  1. De organisatie brengt in kaart over welke persoonsgegevens zij beschikt. Ook namen van contactpersonen van leveranciers en afnemers zijn persoonsgegevens. Dat wordt vastgelegd in een verwerkingsregister.
  2. De organisatie voert een DPIA uit. Een audit waaruit blijkt wat al goed is en waar knelpunten zitten. De knelpunten worden benoemd in een actieplan. In het actieplan worden ook de technische en organisatorische maatregelen benoemd om de knelpunten op te lossen.
  3. Vaststellen of zij een functionaris voor Gegevensbescherming moet aanstellen. Dat is het geval indien:
    1. De organisatie een overheidsorgaan is;
    2. Zij regelmatig en stelmatig op grote schaal observaties uitvoert (beveiligingsbedrijven);
    3. Zij op grote schaal specifieke gegevens verwerkt (voor ‘normale’ organisaties verboden);

Dat zijn de verplichte kaders.

  1. Ook al is de organisatie daartoe niet verplicht, het kan heel nuttig zijn om een Functionaris als waakhond aan te stellen. Bij een overtreding liegen de boetes er niet om.
  2. Indien de organisatie >250 medewerkers heeft, optuigen van een “register van verwerkingsactiviteiten”. Dat zal vrijwel altijd digitaal en softwarematig ingericht zijn.

 

Gedragscodes en certificering

Art 40 uit de AVG stelt dat de autoriteiten ‘gedragscodes en certificering’ bevorderen. Er zijn twee generieke certificeringen die aan het beoogde doel beantwoorden:

 

ISO27001 : managementsysteem voor informatiebeveiliging

NEN7510:  managementsysteem voor informatiebeveiliging in de zorg.

 

Wat kan Kam-adviseur voor u betekenen?

  • Wij kunnen een informatiestroomregister opstellen;
  • Een persoonsgegevensbeleid formuleren;
  • Organisatorische handvatten bieden;
  • Een DPIA (audit) uitvoeren met een beoordeling;
  • U ondersteunen met een certificeringstraject conform ISO27001 of NEN7510.
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Geef een reactie

Je email adres wordt niet gepubliceerd. Required fields are marked *

Post comment

Support Seven Courses!

Lorem ipsum dolor sit amet consectetur adipiscing elit dolor
donate

Recent posts

Featured articles