Voor organisaties

Alle bedrijven en organisaties die gegevens van personen (klanten, gebruikers, personeel) vastleggen krijgen met de strengere regels van de AVG te maken. Ook zzp’ers, kleine mkb bedrijven, stichtingen, verenigingen en internationaal handelende bedrijven.

De AVG stelt extra Compliance-eisen. Je moet als onderneming vooraf inzichtelijk maken, hoe binnen jouw bedrijf met verwerking van persoonsgegevens wordt omgegaan. Voor welke doelen worden persoonsgegevens verwerkt? Hoe lang worden gegevens bewaard? En met welke andere partijen worden gegevens uitgewisseld? Transparantie hierover, richting degene om wiens gegevens het gaat, is vereist.

Door de AVG krijg je verantwoordingsplicht. Je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En dat je geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens. Grote bedrijven met meer dan 250 werknemers en bedrijven die gevoelige gegevens verwerken, moeten een register bijhouden van alle verwerkingsactiviteiten. Bovendien kunnen zij worden verplicht om een Functionaris voor de gegevensverwerking aan te stellen.

Voor personen

De rechten van personen van wie gegevens worden verwerkt (klanten, gebruikers, personeel) worden versterkt en uitgebreid.

Het ‘recht om vergeten te worden’, dat houdt in dat je de organisatie vraagt om de verwijdering van persoonsgegevens ook door te geven aan al organisaties die deze gegevens hebben, is nieuw. Ook het recht op data-portabiliteit, dat is het recht om jouw opgevraagde gegevens in een standaardformat te ontvangen zodat je ze makkelijk kunt doorgeven aan een andere organisatie, is nieuw.

Bestaande rechten die worden versterkt zijn het recht op inzage, het recht om minder gegevens te laten verwerken, of om bezwaar te maken tegen de gegevensverwerking. Als ondernemer moet je daarop voorbereid zijn. Zodat je goed kunt reageren als je bijvoorbeeld een verzoek krijgt om persoonsgegevens over te dragen.

Hoe kun je voldoen aan de AVG?

Je moet als ondernemer sinds 25 mei 2018 klaar zijn voor de AVG. Niet voldoen aan de nieuwe privacywetgeving kan een fikse boete opleveren, die kan oplopen tot 20 miljoen euro of 4% van jouw wereldwijde omzet.

Hoe kan JAN© jou helpen?

Wij:

1. helpen met het opstellen van een privacyverklaring

De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar je om persoonsgegevens vraagt. Iedere onderneming moet een privacyverklaring hebben.

2. beoordelen voor je of je een register voor de verwerking van persoonsgegevens nodig hebt

Als jouw organisatie persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of meer dan 250 medewerkers heeft, moet je met een register gaan werken waarin je de verwerking van persoonsgegevens bijhoudt.

3. toetsen of je een DPIA moet (laten) uitvoeren

Er zijn 9 criteria om te toetsen of je een DPIA moet uitvoeren. Op termijn publiceert de Autoriteit Persoonsgegevens een lijst van verwerkingen waarvoor een DPIA verplicht is.

4. beoordelen of een Functionaris voor de gegevensbescherming verplicht is

De functionaris gegevensbescherming is een onafhankelijk persoon die binnen uw organisatie adviseert en rapporteert over naleving van de AVG. Aanstelling van zo’n functionaris is verplicht wanneer je op grote schaal gevoelige persoonsgegevens verwerkt (over gezondheid bijv.); jouw organisatie structureel mensen observeert (fysiek, digitaal, via cameraobservatie) of voor overheidsorganisaties.

5. stellen bewerkersovereenkomsten voor je op of controleren of deze voldoen aan de AVG

Als een ander bedrijf persoonsgegevens voor jou verwerkt en opslaat, dan moet je met dat bedrijf een bewerkersovereenkomst sluiten. Bijvoorbeeld als een externe helpdesk voor jouw bedrijf gegevens inziet. In zo’n overeenkomst spreek je af wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.