Help! De AVG!

De laatste tijd kunt u er niet meer omheen. De Algemene Verordening Gegevensbescherming, afgekort de AVG, komt er aan. Strenge controles en boetes die kunnen oplopen tot 20 miljoen Euro of 4% van de wereldwijde omzet. Wat nu? Moeten organisaties bang zijn voor de AVG? Of valt het in praktijk wel mee?

Vanaf 25 mei wordt de huidige privacywetgeving vervangen door Europese regels. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Iedere organisatie die persoonsgegevens gebruikt, bewaart, opslaat en/of verwerkt valt onder de AVG. Dit betekent in de praktijk dat bijna iedere organisatie met de nieuwe wetgeving te maken krijgt. Heeft uw organisatie personeel? Dan kan het niet anders dan dat u persoonsgegevens van uw werknemers heeft. Hebt u adressen van klanten om uw facturen te kunnen sturen of houdt u een klantenbestand bij zodat u uw klanten kan mailen? Ook dan valt u onder de AVG.

Het doel van de AVG is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband  met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie (EU).

De AVG zorgt ondermeer voor:
  • De versterking en uitbreiding pricacyrechten
  • Meer verantwoordelijkheid voor organisaties
  • Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen Euro op te leggen.
Wat betekent dit nu concreet? 
Belangrijk is dat u inzicht hebt in welke persoonsgegevens u precies allemaal verwerkt en waarom. Wat is de grondslag voor het verwerken van de persoonsgegevens? Bewustwording is het kernwoord. Breng vervolgens uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Verder kan het zijn dat u een functionaris voor de gegevensverwerking (FG) moet aanstellen en/of een dat protection impact assessment (DPIA) moet uitvoeren. Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de bestaande contracten met uw verwerkers voldoen aan de eisen van de AVH. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan. Daarnaast is het belangrijk dat de mensen van wie u persoonsgegevens verwerkt hun privacyrechten goed kunnen uitvoeren. Denk daarbij bijvoorbeeld aan het recht van inzage en het recht op correctie en verwijdering. Het is belangrijk dat uw organisatie dit faciliteert. Maak uw organisatie vertrouwd met de onder de AVG verplichte uitganspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Denk hierbij bijvoorbeeld aan automatisch aangevinkt vakje 'Ja, ik wil aanbiedingen ontvangen' op uw website. Dit mag dus niet. Tot slot is het belangrijk om de persoonsgegevens goed te beveiligen. Ga in gesprek met uw IT beheerder en zorg ervoor dat uw beveiliging voldoet.

Het lijkt veel wat u allemaal moet doen, en de eerlijk gebiedt te zeggen dat het ook zo is. Echetr, als uw raamwerk straks eenmaal staat en de implementatie binnen uw organisatie een feit is, dan hoeft u dit alleen nog maar te actualiseren als er zaken veranderen. 
Wees niet bang dat er direct hoge boetes gaan vallen voor het MKB, zo'n vaart zal het niet lopen. Maar de moeglijkheid tot deze 'superboetes' is er wel, dus het is belangrijk dat u in actie komt. Het niet serieus nemen van deze wetgeving kan een groot risico zijn.

De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website ww.hulpbijprivacy.nl en de AVG-regelhulp. Wilt u meer informatie over de AVG:  contact 
Jan Schrijver - Bron: Eef X.M. Ong Claassen Advocaten - Foto: James Sutton
Geplaatst op 16-03-2018