Ben jij klaar voor de AVG? 8 zaken die je moet weten

Vanaf 25 mei moeten álle Nederlandse bedrijven voldoen aan nieuwe privacyregels. Van de grootste multinational tot de bakker om de hoek. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) verandert er veel wat betreft de verwerking en bescherming van die data.  Hoe goed is jouw bedrijf hier al op voorbereid?

 

#1. Wat houdt de AVG in?

De Algemene Verordening gegevensbescherming (in het Engels General Data Protection Regulation of GDPR) is de nieuwe Europese privacywetgeving die op 25 mei 2018 definitief van kracht wordt. De AVG vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft als doel persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken. Organisaties moeten duidelijk maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang de data wordt bewaard. Ook moeten ze burgers desgevraagd inzage geven in de opgeslagen data.

 

#2. Wat verandert er ten opzichte van de huidige privacywetgeving?

Burgers krijgen nog meer zeggenschap over hun persoonsgegevens en wat daarmee gebeurt. Zo mogen ze hun toestemming om gegevens te verwerken niet alleen intrekken, maar ook gebruikmaken van het recht om vergeten te worden bij alle organisaties die hun gegevens hebben ontvangen via jouw bedrijf. Alle Europese privacytoezichthouders, zoals de Autoriteit Persoonsgegevens (AP), krijgen dezelfde bevoegdheden naast hun nationale bevoegdheden.

 

#3. Ik lees veel over privacy by design en privacy by default. Wat betekent dat?

Beide punten zijn verplicht onder de AVG, dus het is van belang om de organisatie er nu al bekend mee te maken. Privacy by design houdt in dat IT-systemen en applicaties de persoonsgegevens standaard op een hoog niveau beveiligen. Bovendien hoeven de gebruikers van de systemen geen extra handelingen te verrichten om de gegevens te beschermen.

Privacy by default betekent dat er standaard zo min mogelijk gegevens worden verwerkt. Het vereist daarnaast dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn. Meer tijd ontwikkeld applicaties conform privacy by design en privacy by default. Lees hier meer over onze maatwerk applicaties.

 

#4. Geldt de AVG voor elk bedrijf?

Elk bedrijf dat persoonsgegevens verwerkt, moet zich houden aan de regels die de AVG voorschrijft. Onder verwerken valt niet alleen ‘opslaan’, maar ook gebruiken, analyseren, combineren of verwijderen. Onder persoonsgegevens vallen ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Naast naam- en adresgegevens betreft het dus ook bijvoorbeeld medische data, klantprofielen en klikgedrag.

 

#5. Wat gebeurt er als ik niet (op tijd) voldoe aan de regels?

De AVG is al in mei 2016 in werking getreden, maar wordt pas in mei 2018 daadwerkelijk van kracht, zodat organisaties voldoende tijd hebben om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Ook gaat de Autoriteit Persoonsgegevens vanaf dat moment bedrijven op de vingers tikken die niet compliant zijn met de AVG. Deze boetes kunnen oplopen tot maximaal 4 procent van de jaaromzet of 20 miljoen euro.

 

#6. Hoe zit het met de documentatieplicht?

Met de AVG hebben organisaties een documentatieplicht, tenzij ze minder dan 250 personen in dienst hebben en hun gegevensverwerking geen risico oplevert voor de rechten en vrijheden van de betrokkenen. Wie wel aan de documentatieplicht voldoet, moet alle soorten verwerkingen vastleggen, zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren.

 

#7.Hoe zit het met de meldplicht datalekken?

De meldplicht datalekken, die ook in de AVG is opgenomen, verplicht dat elk ernstig lek binnen 72 uur na ontdekking gemeld wordt aan de AP. Betrokkenen waarvan gegevens zijn gelekt, hoeven niet geïnformeerd te worden over het datalek als aangetoond kan worden dat geen gegevens te achterhalen zijn.

 

#8. Hoe zit het met mijn privacyverklaring?

De komst van de AVG betekent dat praktisch elke organisatie zijn privacyverklaring moet herzien. Deze moet onder de AVG niet alleen meer gedetailleerde informatie bevatten, maar ook in begrijpelijke taal zijn geschreven. De tekst moet toegankelijk en eenvoudig geschreven zijn en begrijpelijk zijn voor de doelgroep waarop je je richt.