De AVG wetgeving

Wat betekent het voor jouw organisatie?

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) een feit. De AVG wetgeving vervangt vanaf dan de Wet bescherming persoonsgegevens (Wbp). Dit betekent dat in de gehele Europese Unie dezelfde privacy-wetgeving geldt. De tijd tot 25 mei 2018 wordt gezien als een overgangsperiode. Bedrijven moeten deze periode zoveel mogelijk benutten om straks écht klaar te zijn voor de AVG. Wat houdt deze nieuwe wetgeving precies in en welke voorbereidingen kun jij treffen?

 

De AVG: wat verandert er precies?

Je hebt het woord AVG vast al voorbij horen komen, maar wat is het nu precies en is het nodig? Nou, nodig is de AVG zeker. Hacks komen steeds vaker voor en daarom is een strengere informatiebeveiliging noodzakelijk. De AVG zorgt onder andere voor een versterking en uitbreiding van privacyrechten en voor meer verantwoordelijkheid voor organisaties. Voldoet jouw bedrijf straks niet aan de AVG, dan riskeer je een boete die kan oplopen tot maximaal €20.000.000 of 4% van de wereldwijde omzet. Kortom: reden genoeg om goed voorbereid te zijn.

 

Bereid jouw organisatie in 10 stappen voor op de AVG

Neem het heft in eigen hand en bereid je nu voor op de AVG. De Autoriteit Persoonsgegevens (AP) heeft hiervoor 10 stappen gedefinieerd die wij hieronder kort toelichten:

1. Bewustwording

Het traject begint met bewustwording. Welke medewerkers binnen de organisatie moeten op de hoogte zijn van de nieuwe privacyregels? Wat is de impact op de organisatie en wat moet er binnen het bedrijf gebeuren om op 25 mei 2018 te voldoen aan de regels van de AVG?

 

2. Rechten van betrokkenen

De mensen van wie jouw bedrijf de persoonsgegevens verwerkt (de ‘betrokkenen’), krijgen vanaf 2018 verbeterde rechten en meer rechten, zoals het recht op deportabiliteit. Dit betekent dat zij het recht hebben om de persoonsgegevens te ontvangen die jouw bedrijf van hen heeft. Hier kun je uiteraard nu alvast rekening mee houden.

 

3. Overzicht verwerkingen

De AVG gaat gepaard met een verantwoordingsplicht. Dit betekent dat je als bedrijf verplicht bent om de gegevensverwerking in kaart te brengen. Welke persoonsgegevens verwerk je? Met welk doel? Waar komen de gegevens vandaan en met wie deelt jouw bedrijf de gegevens?

 

4. Privacy impact assessment (PIA)

Bedrijven die een hoog privacyrisico lopen, zijn verplicht om een privacy impact assessment (PIA) uit te voeren en eventueel maatregelen te nemen. Bekijk nu alvast of dit voor jouw bedrijf van toepassing is. Je vindt hierover meer informatie op de website van de Autoriteit Persoonsgegevens.

 

5. Privacy by design en privacy by default

De AVG kent twee verplichte uitgangspunten: privacy by design en privacy by defaultPrivacy by design betekent dat je als bedrijf al bij het ontwerpen van producten en diensten moet zorgen voor een goede bescherming van persoonsgegevens. Privacy by default houdt in dat je zowel technische als organisatorische maatregelen moet nemen om ervoor te zorgen dat je alleen de persoonsgegevens bewaart die noodzakelijk zijn. Ook hier kun je nu al rekening mee houden.

 

6. Functionaris voor de gegevensbescherming

Sommige bedrijven worden verplicht gesteld om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bekijk hier of dit ook geldt voor jouw organisatie.

 

7. Meldplicht datalekken

De AVG stelt strengere eisen aan het melden van datalekken. Zo ben je als organisatie verplicht om alle datalekken te documenteren en niet alleen de datalekken waar een melding van is gemaakt.

 

8. Verwerkerssovereenkomsten

Besteedt jouw organisatie de gegevensverwerking uit aan een derde partij, ofwel een verwerker? Bekijk in dat geval of de huidige contracten voldoen aan de eisen van de AVG. Zo niet, dan is het noodzakelijk om hier nieuwe afspraken over te maken en vast te leggen.

 

9. Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere lidstaten van de EU of is de gegevensverwerking van invloed op meerdere lidstaten? In dat geval hoef je volgens de AVG maar met één privacy toezichthouder, de leidende toezichthouder, zaken te doen.

 

10. Toestemming

De AVG zorgt voor strengere eisen aan het verkrijgen van toestemming van derden wat persoonsgegevens betreft. Zo ben je verplicht om aan te tonen dat je toestemming hebt gekregen om deze gegevens te verwerken. Ook nieuw: mensen kunnen deze toestemming net zo gemakkelijk weer intrekken.

Je ziet het: de AVG heeft nogal wat gevolgen. Wil je hier meer over lezen? Bekijk dan de website van de Autoriteit Persoonsgegevens voor de laatste informatie of neem contact op met Youwe’s Security officer, Gert-Jan Jansma.

Zoek jij een op maat gemaakt AVG ready voorstel voor jouw organisatie? Vraag het aan onze security officer Gert-Jan.

Gert-Jan Jansma