Wat betekent de AVG voor jou of jouw organisatie? Dat hangt af van een aantal factoren: wie je bent (persoon / organisatie), wat je doet (wat is je functie) en welke rol heb je (verwerker / verwerkingsverantwoorderlijke)? In dit artikel lees je wat je als organisatie moet weten over de AVG.
Wat is de AVG?
Met ingang van 25 mei 2018 bepaalt de Europese Algemene Verordening Gegevensbescherming (AVG) – in het Engels: General Data Protection Regulation (GDPR) – in grote lijnen de omgang met persoonsgegevens. Van het aanwijzen van verantwoordelijken en het verstrekken van rechten aan natuurlijke personen tot aan het aangeven van beveiligingseisen en de hoogtes van boetes. Deze AVG is hét middelpunt van verwerking van persoonsgegevens in Nederland en Europa en zelfs een beetje daarbuiten.
Rechten van betrokkenen
Ben jij degene op wie de persoonsgegevens betrekking hebben? Dan heb je verschillende rechten om iets met die persoonsgegevens te (laten) doen. Zo kan je te allen tijde je toestemming om persoonsgegevens te verwerken intrekken. Je kan om inzage van de verwerkte persoonsgegevens vragen, verzoeken deze te verwijderen, aan te passen of aan je over te dragen in een bruikbaar bestand.
Verwerken van persoonsgegevens
Ben jij (of je bedrijf of organisatie) juist degene die bepaalde verwerkingen van persoonsgegevens doet én heb je het doel en de middelen daarvan bepaald? Dan zijn er vergaande verplichtingen om dit op een rechtmatige, veilige en transparante manier te doen. Of ben jij degene die in opdracht van iemand persoonsgegevens verwerkt? Weet je dan wat je plichten zijn? En kan je daar dan ook aan voldoen?
Rechtmatige verwerking
Een belangrijk uitgangspunt van de AVG is dat de verwerking van persoonsgegevens rechtmatig is. Dat betekent dat degene die persoonsgegevens wil gaan verwerken eerst moet nadenken over het doel hiervan en welke grondslag uit de AVG daar dan bij past. Het doel kan hij of zij dus zelf bepalen, voor de grondslag is er beperkte keuze van 6 gronden die in de AVG genoemd zijn. Dit kan bijvoorbeeld toestemming zijn of omdat er persoonsgegevens moeten worden verwerkt ter uitvoering van een overeenkomst.
Een ander uitgangspunt van de AVG is dat je niet meer persoonsgegevens verwerkt dan noodzakelijk is voor het doel dat je hebt. Dat betekent dus een afweging van belangen én maatregelen. Soms is het nodig om een Data Protection Impact Assessment (DPIA) uit te voeren om een bepaalde verwerking van persoonsgegevens van tevoren te analyseren.
Informeren en verantwoord
Degene die heeft bepaald dat er persoonsgegevens voor bepaalde doeleinden worden verwerkt, moet degene op wie de persoonsgegevens betrekking heeft hierover informeren. Dit wordt vaak gedaan via een privacyverklaring of privacystatement. Dit al dan niet gecombineerd met een cookieverklaring over cookies die geplaatst worden op websites. Gaat het om interne aangelegenheden dan wordt er ook vaak een privacybeleid gedeeld al dan niet opgenomen in een (bedrijfs)reglement (bijvoorbeeld in het geval van een arbeidsrelatie of in verband met het gebruik van social media).
Naast informeren moet je de verwerking ook kunnen verantwoorden. Dat betekent dat je aan de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, moet kunnen laten zien én beargumenteren waarom je bepaalde gegevens verwerkt en hoe je dit doet. Concrete verplichtingen uit de AVG zijn het opstellen van verwerkingsregisters en het aangaan van verwerkersovereenkomsten met eventuele anderen die de persoonsgegevens in opdracht van jou verwerken (verwerkers). Ook bevat de AVG bepalingen waarin staat wanneer je iets moet melden over een datalek aan de Autoriteit Persoonsgegevens en betrokkenen.
Wat moet je nu concreet inregelen?
Als verwerkingsverantwoordelijke (en verwerker) moet je in ieder geval de juiste afwegingen maken over wat je verwerkt en hoe je dit doet. Stel jezelf vragen als:
- Welke grondslag is van toepassing?
- Welke technische en organisatorische (beveiligings)maatregelen zijn voldoende en hoe richt ik dit in?
- Hoe en wanneer voer ik een Data Protection Impact Assessment (DPIA) uit?
- Hoe kom ik tegemoet aan rechten van betrokkenen?
- Is mijn cookiebanner AVG-compliant?
- Hoe maak ik de juiste afspraken met verwerkers en andere derden?
- Welke bewaartermijnen gelden voor bepaalde gegevens?
- Hoe verantwoord ik mij naar betrokkenen en naar de Autoriteit Persoonsgegevens (AP)?
- En wat is mijn noodplan als ik een datalek heb?
- En hoe weeg ik af of het een meldingsplichtig datalek is of niet?
- Hoe check ik of mijn verwerker zich aan zijn afspraken houdt?
Diensten van De IT-Jurist
De IT-Jurist helpt jou of je organisatie graag te voldoen aan de regelgeving inzake persoonsgegevens en de AVG. Wij staan midden in de praktijk en volgen de laatste ontwikkelingen op de voet. Of het nu gaat om meedenken en adviseren over een privacybeleid, het beantwoorden van je vragen of om het daadwerkelijke opstellen of reviewen van overeenkomsten en andere documenten, wij helpen je graag verder! Kijk op onze expertisepagina Privacy of neem direct contact met ons op.