blog

    De Algemene Verordening Gegevensbescherming is nu echt in aantocht!

    De Algemene Verordening Gegevensbescherming is nu echt in aantocht!

    In 2016 kondigden wij de komst van de Algemene Verordening Gegevensbescherming (AVG) aan. Inmiddels is de voorbereidingstermijn van twee jaar bijna verstreken. Vanaf 25 mei 2018 zullen alle organisaties moeten voldoen aan de AVG. Vanaf dan moet je kunnen aantonen dat je de privacybeginselen naleeft. Het risico van niet naleving is groot. Zo kan de Autoriteit Persoonsgegevens vanaf dan boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4 % van de wereldwijde omzet. Voorbereid zijn is alleen al daarom belangrijk!

    AVG

    Privacy is een grondrecht. In de privacyregelgeving wordt de bescherming van het individu als uitgangspunt genomen. Iedere organisatie die gegevens van personen verwerkt zal zich aan de verplichtingen uit de privacyregelgeving moeten houden. Het begrip persoonsgegeven is ruim. Het gaat niet alleen om namen, adressen en telefoonnummers, maar ook om foto’s of videobeelden, track & trace gegevens of IP adressen. De grootste verandering van de AVG is dat organisaties moeten kunnen aantonen dat zij de beginselen uit de privacyregelgeving naleven (de “verantwoordingsplicht”). Dit kan onder meer door middel van een registervan verwerkingsactiviteiten. Daarnaast is het voor bepaalde organisaties verplicht om een Functionaris voor de Gegevensbescherming aan te wijzen. Ook zijn de regels omtrent het beveiligen van persoonsgegevens en de meldplicht datalekken aangescherpt en krijgen de personen van wie gegevens worden verwerkt extra rechten, zoals het recht op dataportabiliteit en het recht op gegevenswissing. Eén van de belangrijkste uitgangspunten van de AVG is dataminimalisatie. Er mogen niet méér persoonsgegevens worden verwerkt dan noodzakelijk om het doel van die verwerking te bereiken. Denk bijvoorbeeld aan de salarisadministratie. Om salarissen te betalen is het bankrekeningnummer van de werknemer noodzakelijk, maar de naam van de partner van de werknemer natuurlijk niet.

    Informatie over de AVG

    Een eerste stap om de AVG te implementeren is het in kaart brengen van de gegevensstromen binnen de organisatie. Dit kan dan als vertrekpunt dienen voor de verdere implementatie, zoals het opstellen van het register van verwerkingsactiviteiten. Om organisaties te helpen heeft de Autoriteit Persoonsgegevens op haar website een Dossier AVG gepubliceerd met informatie over de AVG met beantwoording van veel gestelde vragen. Daarin wordt ook verwezen naar richtlijnen van de Europese privacy toezichthouders, verenigd in Werkgroep 29, over deelonderwerpen uit de AVG, zoals de richtlijn over het uitvoeren van een Privacy Impact Assessment. Op 22 januari 2018 heeft de Rijksoverheid de Handleiding AVG gepubliceerd. Hierin zijn checklists en algemene informatie over de AVG en de Uitvoeringswet op de AVG opgenomen. Deze uitvoeringswet, ook wel UAVG genoemd, is nog niet definitief, maar ligt momenteel bij de Tweede Kamer.

    Nieuw op onze website: expertise Privacy & IT

    De AVG is nu écht in aantocht. Daarom verschijnt maandag 29 januari 2018 Privacy & IT als aparte expertise op onze website. Binnen deze expertise kun je informatie vinden over specifieke onderwerpen binnen privacy, zoals privacy compliance, privacy en werk en de meldplicht datalekken.

    Hulp nodig?

    Mocht je nog vragen hebben over de implementatie van de AVG binnen jouw organisatie. Neem dan contact op met Marieke Thijssen, Liesbeth Woolschot of Monique Hennekens.