Nieuws
AVG

De eerste stap om te voldoen aan de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Verwerkt uw organisatie persoonsgegevens? Dan moet u straks kunnen aantonen dat uw organisatie aan de nieuwe privacyregels voldoet. Hoe kunt u zich voorbereiden op deze verplichting?

Nieuwe privacyregels voor betrokkenen

De AVG is bedoeld om de privacy van personen van wie gegevens worden verwerkt, beter te beschermen. De definitie van het begrip ‘verwerken’ is ruim geformuleerd, en omvat eigenlijk alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, worden beschouwd als ‘verwerken’. Denk bijvoorbeeld aan het verzamelen van e-mailadressen, het opvragen van gegevens voor een klantdossier of het verspreiden van lijsten met telefoonnummers. De AVG versterkt de rechten van betrokkenen. Zo wordt het recht om ‘vergeten’ geïntroduceerd. Ook krijgen betrokkenen het recht op dataportabiliteit. Dit houdt in dat gegevens in bepaalde gevallen moeten worden overgedragen indien een betrokkene hierom vraagt.

Verantwoordingsplicht voor organisaties

Organisaties krijgen onder de AVG een verantwoordingsplicht. Zij moeten kunnen aantonen dat zij de juiste maatregelen hebben genomen om aan de wettelijke eisen te voldoen (‘in control zijn’). Zo dient een organisatie elke verwerking van persoonsgegevens te kunnen rechtvaardigen. De verwerking van persoonsgegevens is alleen rechtmatig als hiervoor een grondslag geldt die in de AVG is genoemd. Een organisatie kan bijvoorbeeld toestemming hebben gekregen van de betrokkene of een verwerking kan noodzakelijk zijn om te kunnen voldoen aan een wettelijke verplichting of een contract. Daarnaast moet de verwerking plaatsvinden in overeenstemming met de beginselen van verwerking.

Verplichte maatregelen

In de AVG wordt een aantal concrete maatregelen genoemd waarmee organisaties aan hun verantwoordingsplicht kunnen voldoen. Zo moet voor nieuwe verwerkingen met een hoog privacyrisico, of aanpassingen in deze verwerkingen, een Data Protection Impact Assessment (DPIA of een gegevensbeschermingseffectbeoordeling) worden uitgevoerd. Ook kunnen organisaties wettelijk verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Daarnaast bevat de AVG de verplichting tot het bijhouden van een ‘register van werkingsactiviteiten’. Ook moet de organisatie, in het geval de grondslag voor de verwerking uitdrukkelijke toestemming is van een betrokkene, de toestemming registreren en de mogelijkheid bieden de toestemming in te trekken.

Verwerkingsregister

In bepaalde gevallen is het voor organisaties verplicht een verwerkingsregister aan te houden. Maar ook voor organisaties die niet wettelijk verplicht zijn een verwerkingsregister bij te houden, is deze maatregel aan te raden. In het register houdt u bij welke persoonsgegevens uw organisatie verwerkt, op welke grondslag en waar u ze opslaat. Ook kunt u bijhouden wanneer bepaalde gegevens moeten worden gewist, met wie de gegevens worden gedeeld en welke maatregelen u heeft genomen om de gegevens te beschermen. Dit register is een handig hulpmiddel om een compleet beeld te verkrijgen van de gegevens die binnen uw organisatie worden verwerkt. Wanneer u dit inzichtelijk heeft, kunt u de verdere impact van de AVG bepalen en aan de slag met de verdere implementatie van de AVG. Ook kunt u dit register bijvoorbeeld gebruiken als betrokkenen vragen om inzage in persoonsgegevens of om de Autoriteit Persoonsgegevens te laten zien dat u in control bent.

Download template AVG Verwerkingsregister

Meer weten?

Meer weten over de AVG? Volg dan onze AVG Awareness training. Na afronding van de e-learning bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.

Onze specialisten adviseren u graag over de naleving van de AVG. Neem geheel vrijblijvend contact met ons op via onderstaande button.

Contact