Algemene Verordening Gegevensbescherming

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Wat verandert er?

De AVG zorgt onder meer voor:

  • versterking en uitbreiding van privacyrechten;
  • meer verantwoordelijkheden voor organisaties;
  • dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.

Overgangsperiode tussen Wbp en AVG

Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing. Er zit dus een periode van 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Deze tijd is nodig om organisaties en toezichthouders zich goed te laten voorbereiden op de AVG. Let op: tijdens deze 2 jaar geldt in Nederland nog steeds de Wbp.

In 10 stappen voorbereid op de AVG

  1. Bewustwording

    Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVG-regelhulp.

  2. Rechten van betrokkenen

    Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat.

  3. Overzicht Verwerkingen

    Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met doel u dit doet, waar de gegevens vandaan komen en met wie u ze deelt. U heeft een verantwoordingsplicht. Dat houdt in dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

  4. Data Protection Impact Assesment (DPIA)

    Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

  5. Privacy by design & default

    Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
    Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door: een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is; op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

  6. Functionaris voor de gegevensbescherming

    Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit geldt voor publieke organisaties en overheden, organisaties die zich bezichhouden met observaties van individuen, organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. De FG moet worden aangemeld bij de Autoriteit Persoonsgegevens.

  7. Meldplicht datalekken

    De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.

  8. Verwerkersovereenkomsten

    Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst.

  9. Leidende toezichthouder

    Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd.

  10. Toestemming

    Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken.

Bron: Autoriteit Persoonsgegevens

Voor onze leden

Als federatie voor de technologische branche heeft FHI in samenwerking met BDO een aantal documenten opgesteld die u kunt gebruiken voor de implementatie van de AVG. Deze vindt u op het extranet.

De documenten zijn te gebruiken als opzet voor uw organisatie. Voor vragen kunt u terecht bij Andreas Meijer. Voor begeleiding kunt u terecht bij Robert van Vianen van BDO.

Bent u wel lid maar heeft u moeite met inloggen? Neem dan contact op met Dennis de Jong.

Meer informatie?

MKB Nederland

Het ministerie van Justitie  en Veiligheid heeft in overleg met MKB Nederland speciaal voor ondernemers een handzame brochure geschreven, als extra hulpmiddel, in zo makkelijk mogelijke taal én tegelijkertijd juridisch juist en compleet.
In deze brochure wordt zo beknopt mogelijk uitgelegd wat de AVG voor mkb-ers betekent. Er wordt uitgelegd wat de regels zijn en hoe je je als ondernemer er aan kunt houden.
Er is dus vooral veel aandacht voor wat gedaan moet worden. In zo duidelijk mogelijke taal.

Ga naar de brochure.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). De autoriteit onderzoekt het gebruik van persoonsgegevens binnen bedrijven en overheidsorganisaties. Zij legt boetes op bij overtredingen.

Daarnaast adviseert de Autoriteit Persoonsgegevens de regering en het parlement over nieuwe wet- en regelgeving over persoonsgegevens. Ook geeft zij informatie over privacy aan burgers.

Ga naar de website van autoriteit persoonsgegevens voor meer informatie.