Voldoen aan de AVG (Algemene Verordening Gegevensbescherming)

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (GDPR) kent de Europese Unie één privacywet.

De strengere Europese wet geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Activiteiten vallen veel sneller onder de privacywet. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze als privacygevoelig behandelen.

De AVG dwingt ondernemers tot meer actie en maatregelen. De nadruk van de verordening ligt op het aantonen dat je je aan de wet houdt. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd.

Voldoen aan de nieuwe privacywet

Op 25 mei 2018 is de nieuwe Europese privacywetgeving ingegaan. Dat betekent dat jouw bedrijf of organisatie hieraan moet voldoen. Volg hiervoor het 10-stappenplan.

1. Bewustwording:

Zorg dat iedereen in jouw onderneming bekend is met de nieuwe privacyregels.

2. Rechten van betrokkenen:

Hou rekening met de extra privacyrechten voor personen zoals het recht op inzage en het recht op correctie en verwijdering.

Stap 1 en 2: bewustwording en informeren

3. Overzicht verwerkingen:

Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben.

4. Data protection impact assesment (DPIA):

Zorg voor een data protection impact assesment. Voldoe aan de verplichting om de risico’s van gegevensverwerking vooraf in kaart te brengen.

Stap 3 en 4: register en DPIA

5. Privacy by design en privacy by default:

Hou bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel.

6. Functionaris gegevensbescherming:

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen.

Stap 5 en 6: inrichten en toezicht

7. Meldplicht datalekken:

Herijk de procedures binnen jouw organisatie, voor het vastleggen en melden van datalekken. Onder de AVG is de meldplicht uitgebreid. En het is verplicht om alle datalekken te documenteren.

8. Bewerkersovereenkomsten:

Zorg voor een bewerkersovereenkomst met iedere organisatie die persoonsgegevens voor jouw bedrijf verwerkt. Alle bestaande overeenkomsten moeten voldoen aan de AVG.

Stap 7 en 8: datalekken en verwerkersovereenkomst

9. Leidende toezichthouder bepalen:

Is jouw organisatie in meerdere EU-landen actief? Onder de AVG (GDPR) hoef je maar met één privacy toezichthouder zaken te doen, de leidende toezichthouder. Bijvoorbeeld de Autoriteit Persoonsgegevens.

10. Toestemming:

De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Je moet kunnen aantonen dat er geldige toestemming is verkregen. Het gaat om de manier waarop je toestemming vraagt, krijgt en registreert.

Meer over de AVG:

Alles over de AVGAlgemene Verordening GegevensbeschermingUitbreiding bescherming persoonsgegevens
InfoPage