Even scherpstellen: de AVG

Blog

Hij staat voor de deur: de Algemene Verordening Gegevensbescherming. Ook wel bekend als de AVG. 25 mei 2018 moeten we er allemaal aan geloven. De Wet bescherming persoonsgegevens (Wbp) bestaat dan niet meer. En zodra de AVG van kracht is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Heb jij je al door de theorie geworsteld? Treft jouw organisatie al de juiste voorbereidingen? Het is geen eenvoudige opgave. Daarom zetten wij de belangrijkste punten voor je op een rij.

Maar wat is de AVG nou precies?

De AVG, ook wel bekend als de Europese General Data Protection Regulation (GDPR), is een privacywetgeving die straks geldt in de hele Europese Unie. De wet moet ervoor zorgen dat burgers meer controle krijgen over hun persoonsgegevens, zoals NAW-gegevens. Maar ook gelden er regels voor databescherming. Uiteindelijk zorgt de AVG voor een duidelijk overzicht in de rechten en plichten van burgers en organisaties met betrekking tot gegevensbescherming.

Wat verandert er voor jou? 

De AVG legt de nadruk op de verantwoordelijkheid van organisaties. En daardoor moeten organisaties volgend jaar zelf kunnen aantonen dat zij zich aan de wet houden. Het is dus belangrijk dat je de gegevensverwerking in kaart brengt. Je moet correct documenteren welke gegevens je verwerkt en waarom, maar ook met wie je ze deelt. Maar dat niet alleen. Organisaties die persoonsgegevens verwerken moeten ook een logboek met alle verwerkingsactiviteiten bijhouden. En dat is makkelijker gezegd dan gedaan. Want er moet dus goed nagedacht worden over hoe je deze activiteiten gaat bijhouden. Maar ook hoe ze aantoonbaar worden voor de controlerende instanties.

Ook stelt de AVG strengere eisen aan de toestemming die je nodig hebt van betrokkenen. Volgend jaar moet je kunnen aantonen dat je een geldige toestemming hebt gekregen. En het moet voor betrokkenen net zo makkelijk zijn om deze toestemming weer in te trekken.

Assessment uitvoeren

Wanneer bepaalde gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, ben je verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Bijvoorbeeld wanneer je organisatie op grote schaal persoonsgegevens verwerkt. Of wanneer je publiekelijk mensen volgt door middel van cameratoezicht. Zo’n DPIA legt vooraf privacyrisico’s van gegevensverwerking bloot. Vervolgens kun je maatregelen treffen om deze risico’s te verkleinen. Nog niet alle situaties waarin een DPIA verplicht is, zijn bekend.  Autoriteit Persoonsgegevens (AP) publiceert hier nog een lijst over.  

Functionaris aanstellen

Naast de DPIA, schrijft de wet ook dat bepaalde organisaties een functionaris voor de gegevensbescherming (FG) moeten aanstellen. Overheidsinstanties en publieke organisaties zijn dit altijd verplicht, maar er gelden ook regels voor andere organisaties. Daarnaast kunnen EU-lidstaten ook andere situaties benoemen waarin een functionaris verplicht is. Het is alleen nog niet bekend of dit in Nederland gaat gebeuren.

Meldplicht datalekken blijft ongewijzigd

Vorig jaar schreef collega Arthur een blog over de meldplicht datalekken. Goed om te weten: de AVG heeft hier geen effect op! De meldplicht blijft ongewijzigd. De AVG stelt wel strengere regels aan het melden ervan. Zo moet je alle datalekken goed documenteren, zodat er gecontroleerd kan worden of je aan je meldplicht hebt voldaan.

Flink veel stof om te verwerken, en daar denken we graag in mee. We houden de ontwikkelingen rondom de AVG nauwlettend in de gaten.