Voorbereiden op de AVG, zo doe je dat!

06 februari 2018
5 minuten

Vanaf 25 mei 2018 gaat de Nederlandse Wet bescherming persoonsgegevens (Wbp) plaatsmaken voor de Europese Algemene Verordening Gegevensbescherming (AVG). Daardoor zullen er in heel Europa dezelfde regels gelden rondom privacy. Dit heeft gevolgen voor jouw organisatie. Ontdek nu hoe jij je kunt voorbereiden op de AVG. 

Over de AVG

De Algemene Verordening Gegevensbescherming geldt voor alle organisaties in Nederland en binnen de Europese Unie. Voortaan mag je niet zomaar meer persoonsgegevens verzamelen en verwerken. Je bent verplicht hier toestemming voor te vragen en deze gegevens alleen voor het omschreven doel te gebruiken. De desbetreffende persoon heeft het recht zijn toestemming voor verwerking van persoonsgegevens in te zien en/of in te trekken. Als er niet wordt voldaan aan de nieuwe wetgeving vanaf 25 mei 2018 kan er een boete worden gegeven die kan oplopen tot €20 miljoen of 4% van de algemene jaaromzet.

Wat verandert er?

Meer rechten voor de betrokkenen
Wanneer je persoonsgegevens verzamelt en verwerkt, moet je in een privacyverklaring uitleggen welke gegevens er worden verwerkt en voor welk doel. Er mogen geen gegevens worden verzameld die je voor dit doel niet nodig hebt. Voor een inschrijving voor de nieuwsbrief heb je bijvoorbeeld geen adresgegevens nodig, maar alleen een e-mailadres.

Wanneer de betrokkenen akkoord gaan met de privacyverklaring, hebben zij het recht om hun persoonsgegevens in te zien, te bewerken en eventueel te verwijderen. Daarom moet je ervoor zorgen dat betrokkenen makkelijk hun gegevens kunnen ontvangen en doorgeven aan een andere organisatie wanneer zij dit wensen.

Meer verplichtingen voor jouw organisatie
Als organisatie heb je vanaf 25 mei 2018 meer verplichtingen richting de betrokkenen en richting de toezichthouder. Maak daarom duidelijke afspraken over de verzameling van persoonsgegevens en de verwerking hiervan tussen de verwerkers en verantwoordelijken. Deze afspraken kun je eenvoudig vastleggen in een verwerkersovereenkomst.
Wanneer de persoonsgegevens risicovol zijn of wanneer de organisatie meer dan 250 medewerkers bevat, ben je verplicht om de verwerking bij te houden in een register. Ook moet je rekening houden met datalekken. Is er sprake van een datalek? Meldt dit dan zo snel mogelijk bij de Autoriteit Persoonsgegevens.

Bevoegdheid van de toezichthouder
De toezichthouders mogen informatie aanvragen en onderzoek uitvoeren wanneer dit nodig is om haar taken uit te voeren. Zij kunnen boetes opleggen en eventueel beperking of verbod van gegevensverwerking.

Hoe kun je je voorbereiden?

  • Maak overzichtelijk welke en hoeveel persoonsgegevens worden bijgehouden en op welke manier deze worden verwerkt;
  • Zorg dat de organisatie beschikt over een procedure voor datalekken;
  • Ga na of de organisatie een Functionaris Gegevensbescherming moet aanstellen;
  • Wanneer de verwerking van gegevens niet incidenteel is, risicovolle gegevens bevat of wanneer de organisatie meer dan 250 medewerkers heeft, moet er een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden;
  • Controleer de privacyverklaring van de organisatie en vul deze waar nodig aan;
  • Controleer de overeenkomsten met hosting- en cloudproviders en eventueel andere leveranciers die persoonsgegevens verwerken;
  • Ga na of het voor de organisatie nodig is om een intern beleid te formuleren over het uitvoeren van een Privacy Impact Assessment (PIA).

We gaan ook graag jouw uitdaging aan!

Let's meet