Blijf op de hoogte:

Contact: 033-7410041

Blogs

Wat is de Algemene Verordening Gegevensbescherming?

In de huidige samenleving is privacy een onderwerp waar veel over gesproken wordt. Iedereen zegt gesteld te zijn op zijn of haar privacy. Maar wat is privacy nog in deze tijd? Tegenwoordig verzamelen organisaties steeds meer informatie over je om je beter van dienst te kunnen zijn. Maar wat doen deze organisaties met deze informatie over jou? En hebben ze deze informatie wel echt nodig? De nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG), ook wel de General Data Protection Regulation (GDPR), zorgt ervoor dat elke organisatie duidelijk in kaart heeft welke informatie zij over hun klanten, medewerkers en andere betrokkenen verzamelen. Daarnaast moet er volgens de AVG worden gedefinieerd wat zij met deze informatie doen. Het moment dat de AVG van toepassing zal zijn nadert snel. Maar wat is de AVG? En waar moet een organisatie aan voldoen om AVG-proof te zijn?

 

AVG: Wat is het en wat is de aanleiding?

Per 25 mei 2018 is de AVG van kracht. Vanaf die datum geldt er in de hele Europese Unie(EU) dezelfde privacywetgeving. In Nederland betekent dat, dat de Wet bescherming persoonsgegevens (Wbp) dan niet meer van toepassing is. Het uiteindelijke maatschappelijke doel van de vernieuwde privacywet is dat burgers kunnen vertrouwen op voldoende waarborging van hun privacy als zij gegevens verstrekken aan instanties. Een van de aanleidingen van het vernieuwen van de privacywetgeving in de EU is de sterke toename in de uitwisseling van persoonsgegevens tussen landen, en tussen publieke en particuliere partijen. Dit komt onder meer door technologische ontwikkelingen en de alsmaar toenemende globalisering. Deze ontwikkelingen vereisen een krachtig en coherent wettelijk kader voor gegevensbescherming in de EU, en dat is de AVG. Ook is de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht waar in het kader van de nieuwe ontwikkelingen in de samenleving meer dan ooit op toegezien moet worden.

 Wat is de Algemene Verordening Gegevensbescherming

Wat verandert er met de AVG voor de organisatie en de klant?

Ten opzichte van eerdere privacywetgeving is de AVG bedacht om de belangen van de betrokkenen (de mensen van wie gegevens worden verwerkt) nog beter te beschermen. Zij krijgen namelijk nieuwe privacy rechten en hun bestaande rechten worden sterker. Automatisch betekent dit voor de organisaties die persoonsgegevens verwerken dat zij meer verplichtingen krijgen. De verantwoordelijkheid ligt vanaf 25 mei namelijk bij de organisatie om te kunnen aantonen dat zij zich aan de wet houden. Dit is dan ook een grote verantwoordelijkheid want een hoge boete en imago schade staan op het spel als blijkt dat een organisatie zich niet aan de wet houdt. Maar aan welke verplichtingen moet een organisatie voldoen om conform de AVG persoonsgegevens te verwerken?

 

De grondslagen voor het verwerken van persoonsgegevens

Organisaties mogen volgens de AVG niet zomaar persoonsgegevens verwerken. Voor het verwerken van persoonsgegevens is een grondslag nodig. De verschillende grondslagen zijn:

  1. Toestemming van de betrokkene
  2. Noodzakelijk voor de uitvoering van een overeenkomst
  3. Noodzakelijk voor het nakomen van een wettelijke verplichting
  4. Noodzakelijk ter bescherming van vitale belangen
  5. Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. Noodzakelijk voor de behartiging van de gerechtvaardigde belangen

Organisaties mogen alleen ‘gewone’ persoonsgegevens (bijv. NAW-gegevens, geslacht, telefoonnummer etc.) verwerken wanneer aan ten minste één van deze zes AVG-grondslagen voldaan wordt. Wel moet dit dan zorgvuldig gebeuren. Als organisatie moet je ervoor zorgen dat je goed kunt onderbouwen dat je de verwerking op deze grondslag(en) mag baseren wanneer je doelgroep of de Autoriteit Persoonsgegevens (AP) hier om vraagt. De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij de organisatie zich kan beroepen op een specifieke wettelijk uitzondering én tenminste één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

 

Wat kun je als organisatie doen om AVG-proof te worden?

Om als organisatie aan te kunnen tonen dat persoonsgegevens op de juiste manier, met een eenduidig doel en op een veilige manier, worden verwerkt kunnen er drie technische en organisatorische maatregelen genomen worden:

  1. Verwerkingsregister: Een organisatie is verplicht om een register met alle verwerkingen te kunnen overhandigen waarin per bedrijfsproces is gespecificeerd welke persoonsgegevens met welk doel worden verzameld over de betrokkenen. Daarnaast staat hierin vermeld in welk IT-systeem deze informatie wordt verwerkt en wie deze persoonsgegevens verwerkt en/of ontvangt.
  2. Data Protection Impact Assessment (DPIA): Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Organisaties zijn alleen verplicht om een DPIA uit te voeren als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Wil je weten wanneer je een DPIA uit moet voeren, zie dan de AVG Regelhulp van de Autoriteit Persoonsgegevens (https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom).
  3. Bewustwording binnen en buiten de organisatie: De betrokkene heeft een aantal rechten binnen de AVG met betrekking tot zijn of haar persoonsgegevens:
    1. Recht om in te zien
    2. Recht om te wijzigen
    3. Recht om vergeten te worden
    4. Recht om gegevens over te dragen
    5. Recht op informatie

Het is aan te raden om betrokkenen goed te informeren dat hun gegevens verwerkt worden ten behoeve van verschillende doeleinden en hen te wijzen op hun rechten. Daarnaast is het belangrijk om binnen de organisatie ook bij de medewerkers bewustwording te creëren voor de rechten die betrokkenen hebben en hoe zij hier in hun dagelijkse werk mee om moeten gaan. Deze maatregelen om de AVG te implementeren binnen de organisatie lijken misschien veel bureaucratische en administratieve rompslomp, maar dit heeft wel degelijk voordelen voor de organisatie. Welke voordelen Bvolve heeft benoemd kun je terugvinden in de derde blog uit deze reeks.

 

Heeft jouw organisatie hulp nodig bij het nemen van maatregelen om AVG-proof te worden? Bijvoorbeeld bij het opstellen van een verwerkingsregister en het implementeren van veranderingen om persoonsgegevens volgens de AVG te verwerken? Bvolve kan hierbij helpen. In de tweede blog uit deze reeks lees je onze aanpak. Voor vragen kun je contact opnemen met Maren Dijkland of Rens de Langen.

 

GDPR poster

Er staat voor organisaties het nodige te doen om 25 mei te halen. Het kan in de tijd die vanaf nu nog beschikbaar is, maar het is wel verstandig om direct te beginnen. Download onze poster en kom achter de zes grootste mythes die je van jouw reis af kunnen leiden. 

 New Call-to-action

 

GDPR, AVG, Wat is de AVG, Wat is de GDPR, privacy, Datamanagement, Wat is de rol van de autoriteit persoonsgegevens?, Wat is de Algemene verordening Gegevensbescherming, Algemene Verordening Gegevensbescherming, Privacy wetgeving, wetgeving, persoonsgegevens