Spring naar navigatie Spring naar inhoud

De 10 belangrijkste punten van de AVG

April 2018

Privacywetgeving, AVG, persoonsgegevens

De privacy van de bezoekers van onze website en de websites die we voor klanten maken en hosten is erg belangrijk voor ons. Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf deze datum geldt dezelfde privacywetgeving in de hele Europese Unie. Zo’n wet bestaat vaak uit ingewikkelde terminologie en lange stukken tekst. Om het overzichtelijk te maken hebben wij de 10 belangrijkste veranderingen op een rij gezet.

1. Bewustwording

Het is belangrijk dat medewerkers van een organisatie die te maken hebben met het verwerken van persoonsgegevens op de hoogte zijn van de veranderingen van de AVG. Wanneer een organisatie hier hulp bij nodig heeft, wordt de hulp ingeschakeld van de Autoriteit Persoonsgegevens (AP). De AP is de toezichthouder van Nederland en zij houdt in de gaten of de AVG wordt nageleefd en legt eventuele boetes op.

2. Rechten van betrokkenen

Betrokkenen zijn de mensen waarvan een organisatie de persoonsgegevens verwerkt. Deze betrokkenen hadden al een paar rechten, maar door de komst van de AVG krijgen zij er een aantal nieuwe bij.

Bestaande rechten
Recht met betrekking tot geautomatiseerde besluitvorming en profilering (de betrokkenen mogen aangeven dat zij een menselijke blik willen bij de besluiten);

Recht om bezwaar te maken (de betrokkenen mogen bezwaar maken tegen de verwerking van hun persoonsgegevens);
Recht op beperking van de verwerking (de betrokkenen mogen aangeven dat zij minder persoonsgegevens willen laten verwerken);
Recht op informatie (de betrokkenen hebben het recht om duidelijke informatie te krijgen over wat er met hun persoonsgegevens gaat gebeuren);
Recht op inzage (de betrokkenen mogen hun persoonsgegevens inzien);
Recht op rectificatie en aanvulling (de betrokkenen mogen hun persoonsgegevens laten wijzigen. Bij dit recht moet een organisatie deze wijziging(en) doorgeven aan andere organisaties die de persoonsgegevens delen).

Nieuwe rechten
Recht op dataportabiliteit (de betrokkenen mogen hun persoonsgegevens laten overdragen);

Recht op vergetelheid (de betrokkenen mogen aangeven dat zij ‘vergeten’ willen worden).
Het is voor een organisatie belangrijk om op de juiste wijze gehoor te geven aan de betrokkenen wanneer zij zich beroepen op één van hun rechten. Wanneer er van de betrokkenen klachten bij de AP binnenkomen dan zal de AP de klachten verplicht moeten behandelen.

3. Overzicht verwerkingen

Er moet in een overzicht aangegeven kunnen worden welke persoonsgegevens verwerkt worden, waarom deze persoonsgegevens verwerkt worden, waar de persoonsgegevens verzameld zijn en met wie de persoonsgegevens gedeeld worden. Tevens heeft een organisatie een verantwoordingsplicht en moet zij aan kunnen tonen dat zij de AVG naleeft. Het is ook belangrijk om de verwerkingsactiviteiten in een register bij te houden, omdat de AP hierom kan vragen.

4. Data Protection Impact Assessment (DPIA)

Met een DPIA worden vooraf privacy risico’s van een gegevensbescherming in kaart gebracht en moeten er bij risico’s maatregelen worden genomen, zodat de risico’s kleiner kunnen worden. Een DPIA moet worden uitgevoerd als er sprake is van een hoog privacy risico. Een voorbeeld vind je hier.

5. Privacy by design en privacy by default

Bij privacy by design draait het om het goed beschermen van persoonsgegevens. Het is van belang dat een organisatie niet meer persoonsgegevens verzamelt dan nodig is en dat zij dit niet langer bewaren dan noodzakelijk is. Om persoonsgegevens te verwerken voor een specifiek doel zullen zij technische en organisatorische maatregelen moeten nemen. Dit wordt privacy by default genoemd. Bij technische en organisatorische maatregelen valt te denken aan:

Een register bijhouden met alle gegevensverwerkingen;
Een gegevensbeschermingsbeleid opstellen met daarin de omschrijving van de categorieën persoonsgegevens, een beschrijving van de doeleinden van de persoonsgegevens en de juridische grondslag hierbij, een omschrijving van de beginselen van de verwerking van persoonsgegevens en of daaraan voldaan is, de rechten van de betrokkenen en hoe zij dit kunnen uitoefenen, de technische en organisatorische maatregelen die genomen zijn en hoelang de persoonsgegevens bewaart zullen blijven;
(Digitale) beveiliging van de persoonsgegevens.


6. Functionaris voor de gegevensbescherming

Soms is het verplicht om een functionaris aan te wijzen. Iedere organisatie zal moeten kijken of het aanstellen van een functionaris verplicht is. De verplichting geldt voor overheden en publieke organisaties, instelling die op grote schaal individuen volgen en organisaties die bijzondere persoonsgegevens verwerken.

7. Meldplicht datalekken

Wanneer een organisatie een datalek constateert, is het verplicht om dit te melden. De AP kan namelijk gaan controleren of zij wel voldaan hebben aan de meldplicht. Het is dus belangrijk om bij te houden of er datalekken worden geconstateerd

8. Verwerkersovereenkomsten

Het is voor een organisatie handig om een verwerkersovereenkomst op te stellen. Denk daarbij aan alle partijen waarmee persoonsgegevens worden uitgewisseld. Vergeet daarbij het eigen personeel niet, zoals het salarisadministratiekantoor.

9. Leidende toezichthouder

Wanneer er vestigingen zijn in meerdere EU-lidstaten dan hoeft er nog maar met één privacy (leidende) toezichthouder zaken gedaan te worden. Hier is ook sprake van wanneer de gegevensverwerking in meerdere EU-lidstaten impact heeft. Een organisatie zal moeten kijken of dit van toepassing is op hen. Zo niet is de AP toezichthouder.

10. Toestemming

Het is belangrijk dat een organisatie de manier van toestemming krijgen, registreert en vragen evalueert. Zij moet namelijk aan kunnen tonen of zij geldige toestemming van de betrokkenen hebben gekregen. Tevens moet er rekening mee gehouden worden dat de betrokkenen ook gemakkelijk hun toestemming weer moeten kunnen intrekken wanneer dit nodig is.