Menu 088 2202200

AVG (Algemene Verordening Gegevensbescherming)

Je hebt het vast al gehoord, dit jaar komt er nieuwe privacy wetgeving. Op 25 mei j.l. verving de AVG (Algemene Verordening Gegevens bescherming) de voorgaande regelgeving.

De AVG sluit nu beter aan bij de eisen van deze digitale tijd en dwingt ondernemers tot meer actie en maatregelen. De nadruk van de verordening ligt op het aantonen dat jij je aan de wet houdt.

AVG (Algemene Verordening Gegevensbescherming)

Wat is er veranderd?

Vanaf 25 mei 2018 geldt de AVG (Algemene Verordening Gegevens bescherming). En daarmee geldt dezelfde – strengere – privacywetgeving in de hele EU. 

Ten opzichte van de tot dan toe geldende wet bescherming persoonsgegeven krijgen personen (klanten, gebruikers, personeel) nu meer rechten en organisaties meer verantwoordelijkheden en verplichtingen.

Activiteiten vallen veel sneller onder de privacywet. Denk aan het versturen van een offerte, factuur of digitale nieuwsbrief, het vastleggen van contactgegevens van klanten of het verwerken van personeelsinformatie. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze als privacygevoelig behandelen.

 

Voor organisaties

  • Alle bedrijven en organisaties die gegevens van personen (klanten, gebruikers, personeel) vastleggen krijgen met de strengere regels van de AVG te maken. Ook  zzp’ers, kleine mkb bedrijven, stichtingen, verenigingen en internationaal handelende bedrijven. 
  • De AVG stelt extra Compliance-eisen. Je moet als onderneming vooraf inzichtelijk maken, hoe binnen jouw bedrijf met verwerking van persoonsgegevens wordt omgegaan. Voor welke doelen worden persoonsgegevens verwerkt? Hoe lang worden gegevens bewaard? En met welke andere partijen worden gegevens uitgewisseld? Transparantie hierover, richting degene om wiens gegevens het gaat, is vereist.
  • Door de AVG krijg je verantwoordingsplicht. Je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En dat je geldige toestemming heeft gekregen voor het verwerken van persoonsgegevens.
  • Grote bedrijven met meer dan 250 werknemers en bedrijven die gevoelige gegevens verwerken, moeten een register bijhouden van alle verwerkingsactiviteiten. Bovendien kunnen zij worden verplicht om een Functionaris voor de gegevensverwerking aan te stellen.

 

Voor personen

  • De rechten van personen van wie gegevens worden verwerkt (klanten, gebruikers, personeel) worden versterkt en uitgebreid.
  • Het ‘recht om vergeten te worden’, dat houdt in dat je de organisatie vraagt om de verwijdering van persoonsgegevens ook door te geven aan al organisaties die deze gegevens hebben, is nieuw. Ook het recht op data-portabiliteit, dat is het recht om jouw opgevraagde gegevens in een standaardformat te ontvangen zodat je ze makkelijk kunt doorgeven aan een andere organisatie, is nieuw.
  • Bestaande rechten die worden versterkt zijn het recht op inzage, het recht om minder gegevens te laten verwerken, of om bezwaar te maken tegen de gegevensverwerking.
  • Als ondernemer moet je daarop voorbereid zijn. Zodat je goed kunt reageren als je bijvoorbeeld een verzoek krijgt om persoonsgegevens over te dragen.

 

Hoe kunt je voldoen aan de AVG?

Je moet als ondernemer sinds 25 mei 2018 klaar zijn voor de AVG. Niet voldoen aan de nieuwe privacywetgeving kan een fikse boete opleveren, die kan oplopen tot 20 miljoen euro of 4% van jouw wereldwijde omzet.

De Autoriteit Persoonsgegevens (AP) heeft hiervoor een 10-stappenplan ontwikkeld. 


Download 10-stappenplan AVG – Autoriteit Persoonsgegevens


 

Hoe kan JAN© jou helpen?

Wij:

  • helpen met het opstellen van een privacyverklaring: 
    De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar je om persoonsgegevens vraagt. Iedere onderneming moet een privacyverklaring hebben.
  • beoordelen voor je of je een register voor de verwerking van persoonsgegevens nodig hebt:
    Als jouw organisatie persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of meer dan 250 medewerkers heeft, moet je met een register gaan werken waarin je de verwerking van persoonsgegevens bijhoudt.
  • toetsen of je een DPIA moet (laten) uitvoeren
    Er zijn 9 criteria om te toetsen of je een DPIA moet uitvoeren. Op termijn publiceert de Autoriteit Persoonsgegevens een lijst van verwerkingen waarvoor een DPIA verplicht is.
  • beoordelen of een Functionaris voor de gegevensbescherming verplicht is
    De functionaris gegevensbescherming is een onafhankelijk persoon die binnen uw organisatie adviseert en rapporteert over naleving van de AVG. Aanstelling van zo’n functionaris is verplicht wanneer je op grote schaal gevoelige persoonsgegevens verwerkt (over gezondheid bijv.); jouw organisatie structureel mensen observeert (fysiek, digitaal, via cameraobservatie) of voor overheidsorganisaties.
  • stellen bewerkersovereenkomsten voor je op of controleren of deze voldoen aan de AVG
    Als een ander bedrijf persoonsgegevens voor jou verwerkt en opslaat, dan moet je met dat bedrijf een bewerkersovereenkomst sluiten. Bijvoorbeeld als een externe helpdesk voor jouw bedrijf gegevens inziet. In zo’n overeenkomst spreek je af wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

 

Als je vragen hebt, kun je ze mailen naar FleurvanTol@JAN.nl. Bellen kan natuurlijk ook (088- 2202 238).