Algemene Verordening Gegevensbescherming (AVG)

Vanaf 25 mei 2018 zijn alle Europese bedrijven verplicht te voldoen aan de nieuwe regeling voor de bescherming van persoonsgegevens: de Algemene Verordening Gegevensbescherming (AVG)/General Data Protection Regulation (GDPR). Deze nieuwe wet zorgt voor meer verplichtingen voor organisaties die persoonsgegevens verwerken. Het is daarom belangrijk dat u tijdig begint met de implementatie van de nieuwe wetgeving en zorgt dat u hieraan op tijd voldoet.

Voor wie?

De nieuwe wetgeving geldt voor alle organisaties die persoonsgegevens verwerken. Voor kleine MKB’ers en ZZP’ers, maar ook stichtingen en verenigingen. Het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie valt dus ook onder de nieuwe Europese regelgeving.

De AVG is per 25 mei 2018 bindend voor alle bedrijven en organisaties in de Europese unie, die persoonsgegevens vastleggen van klanten, personeel of andere personen. Ook vallen meer activiteiten onder de AVG: namen, adressen, maar ook gegevens gekoppeld aan IP-adressen en cookies vallen hieronder.

AVG-Check

Om te kunnen achterhalen of uw organisatie al voldoet aan de nieuwe eisen en in hoeverre de implementatie voltooid is, hebben wij een checklist ontwikkeld: de AVG Check.

De stappen

PraKtima helpt u bij het implementeren van de nieuwe regelgeving op het gebied van gegevensbescherming. Na het schetsen van de situatie in uw organisatie kan worden bekeken welke stappen nog moeten worden ondernomen om voor 25 mei 2018 te voldoen aan de regelgeving. Met onze AVG checklist kan PraKtima u hierbij helpen. Hierdoor krijgt u een goed beeld van hetgeen u al heeft bereikt en hetgeen nog zal moeten worden gedaan vóór 25 mei 2018.

De praktijk

Belangrijke nieuwe verplichtingen die vanaf 25 mei 2018 moeten worden geïmplementeerd in uw organisatie:

  • Herzien van alle belangrijke documenten die relevant zijn voor gegevensbescherming, zoals contracten met betrekking tot gegevensverwerking, beveiliging en privacy.
    • Met alle partijen die bij de persoonsgegevens kunnen die uw organisatie verwerkt, moet een verwerkers-overeenkomst worden afgesloten: met een boekhouder die facturen inziet, of het bedrijf waarmee je een app hebt gebouwd en de accountgegevens en wachtwoorden opslaat.
  • Organisaties krijgen een verantwoordingsplicht: dit houdt in dat u met registraties moet kunnen aantonen dat de juiste organisatorische en technische maatregelen genomen zijn om aan de AVG te voldoen.
    • Organisaties moeten er voor zorgen dat personen weten hun zij rechten (inzien, vergeten worden, wijzigen, overdragen) kunnen laten gelden.
    • Het Register verwerkingsactiviteiten. Bijna alle organisaties zijn verplicht om zo’n register op te stellen, te onderhouden en te voorzien van alle verwerkingen, waarbij persoonsgegevens in het spel zijn.
  • Uw organisatie kan onder de AVG verplicht zijn een zogenaamd Data Protection Impact Assessment (DPIA) uit te voeren, ook wel een: “gegevens-beschermings-effect-beoordeling”.
    • Een DPIA is een instrument waarmee vooraf de privacy risico’s van een gegevensverwerking in kaart kunnen worden gebracht. Vervolgens kunt u de juiste maatregelen nemen op basis van de uitkomsten, om zo de risico’s te verkleinen.

Privacy

De AVG verplicht u om deze twee beginselen als uitgangspunt te hanteren in uw organisatie:

  • Privacy by design houdt in dat al bij de ontwikkeling van diensten en producten de persoonsgegevens goed worden beschermd en dat niet meer gegevens worden verzameld dan noodzakelijk, of deze langer worden bewaard dan noodzakelijk.
  • Privacy by default vereist dat uw standaard altijd zo privacy-vriendelijk mogelijk is: het is de bedoeling dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Personen krijgen door de AVG aanvullende rechten en een aantal bestaande rechten worden door de nieuwe wet versterkt.

Bijvoorbeeld het recht op vergetelheid (het recht om te kunnen eisen dat een organisatie gegevens verwijdert) en het recht op dataportabiliteit (het recht om van een organisatie hun persoonsgegevens in een standaardformaat te ontvangen om te kunnen overdragen naar een andere organisatie).

 

Meldplicht datalekken

De AVG stelt strengere eisen aan de meldplicht datalekken die in uw eigen organisatie hebben plaatsgevonden. Deze moeten allen worden gedocumenteerd en controleerbaar zijn voor de Autoriteit Persoonsgegevens.

Ons AVG-team staat voor u klaar!

En wat is het goede nieuws? U staat er niet alleen voor! We bieden kennis, diverse oplossingen en ondersteuning waarmee u ‘AVG-proof’ kunt worden. De complexiteit van de materie vraagt om expertise. Daarom hebben wij een speciaal AVG-team samengesteld. Dit team bestaat uit deskundigen werkzaam vanuit gegevensmanagementsystemen (ISO 27001, NEN 7510), ICT, AVG expert en een jurist. Die kennis delen we ook graag met u.

We ondersteunen u bij de voorbereiding op de komst van de AVG door middel van kennis, oplossingen en support.