046 - 202 11 02 info@ermeco.pro

De Algemene Verordening Gegevensbescherming

door | 12 apr, 2018 | Algemeen

Geschreven door Elena Blezer (HelloLaw)

Ben jij er klaar voor?

De Algemene Verordening Gegevensbescherming (hierna: “AVG”), internationaal beter bekend als de GDPR (General Data Protection Regulation), is een van de meest besproken onderwerpen van het moment. Sinds 24 oktober 1995 kennen wij de Wet bescherming persoonsgegevens als onze huidige privacywetgeving. Deze is vastgesteld toen het internet nog in de kinderschoenen stond. Onze samenleving is ondertussen sterk gedigitaliseerd en heeft behoefte aan een nieuwe privacywetgeving die voldoet aan de eisen van nu.

Of je nu werkt als accountant of marketeer of je eigen salon of webshop hebt, als bedrijf verwerk je persoonsgegevens van je klanten. Als gegevensverwerkende organisatie wil je natuurlijk graag weten wat je moet doen en veranderen om aan de eisen van de AVG te voldoen. De belangrijkste wijzigingen zetten wij voor jou op een rijtje.

Versterking en uitbreiding van de privacyrechten

Naast de bestaande privacyrechten uit de Wet bescherming persoonsgegevens krijgt degene wiens gegevens verwerkt worden (de wet noemt dit “de betrokkene”) extra rechten. Hierdoor krijgt deze persoon meer controle over zijn persoonsgegevens. Deze extra rechten zijn:

  • Het recht op informatie
    Bedrijven worden verplicht om de betrokkene te informeren over de verwerking van zijn of haar persoonsgegevens. Alle informatie omtrent je rechten als betrokkenen zijn meestal terug te vinden in het privacystatement van de organisatie.
  • Het recht op dataportabiliteit
    Dit houdt in dat een betrokkene zijn persoonsgegevens kan opvragen bij een organisatie. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.
  • Het recht om vergeten te worden
    Een betrokkene krijgt het recht om zijn persoonsgegevens te laten wissen. Iemand kan verzoeken zijn gegevens niet langer te verwerken wanneer deze niet meer noodzakelijk zijn voor de doeleinden waarvoor ze zijn verzameld of verwerkt.

Extra verantwoordelijkheden voor organisaties

Naast de privacyrechten voor een betrokkene ontstaan er een aantal verplichtingen voor een organisatie. Deze verplichtingen zijn:

  • Data protection impact assessment (hierna: “DPIA”) 
    Organisaties kunnen verplicht worden een DPIA uit te voeren. Dit is een instrument waarmee privacyrisico’s in een vroegtijdig stadium op een gestructureerde en heldere manier in kaart worden gebracht. Dit is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert binnen de organisatie. Denk hierbij aan een organisatie die op grote schaal persoonsgegevens verwerkt.
  • Data Protection Officer oftewel een functionaris voor de gegevensbescherming (hierna: “FG”)
    Het wordt organisaties aangeraden om een functionaris voor de gegevensbescherming aan te wijzen die de organisatie zal bijstaan bij het interne toezicht op de naleving van de AVG. De FG moet informatie verzamelen over gegevensverwerkingen binnen de organisatie, de verwerkingen analyseren en beoordelen of ze aan de AVG voldoen. De FG zal ook informatie, adviezen en aanbevelingen geven aan de organisatie. Daarbij  is tevens van belang dat de FG geen functie heeft waarin hij of zij het doel en de middelen omtrent een gegevensverwerking bepaalt. Zo wordt belangenverstrengeling voorkomen.
  • Verwerkingsregister
    De meeste organisaties zullen een register moeten opstellen met betrekking tot alle verwerkingen van persoonsgegevens, waarvoor de organisatie verantwoordelijk is. In dit register beschrijft de organisatie alle informatie over de persoonsgegevens die worden verwerkt, voor welke doeleinden deze gegevens worden bewaard en voor hoelang de gegevens worden opgeslagen.
  • Privacystatement
    Als de gegevens direct van de betrokkene komen, moet de organisatie een privacystatement verstrekken. Hierin staan niet alleen alle belangrijke gegevens van de organisatie, maar ook informatie over de verwerking van persoonsgegevens en de rechten van de betrokkene. Het dient onder andere transparant, begrijpelijk en makkelijk toegankelijk te zijn.
  • Beveiliging persoonsgegevens
    De AVG vereist dat een organisatie passende technische en organisatorische maatregelen neemt om de persoonsbeveiliging te kunnen waarborgen. Het beveiligingsniveau moet hierbij zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt.

Hoge boetes!

De AVG maakt het voor de Autoriteit Persoonsgegevens mogelijk hogere boetes op te leggen. De maximumboete is maar liefst € 20.000.000,- of 4% van de wereldwijde jaaromzet per incident. Dit is een stuk hoger dan een boete op grond van de Wet bescherming persoonsgegevens (maximumboete is € 4.500,-). Zorg dus dat je goed voorbereid bent!

Daarnaast hebben betrokkenen zelf het recht een klacht in te dienen bij de toezichthouder. Ook kunnen zij rechtstreeks een rechtszaak starten tegen de organisatie in kwestie.

Voldoe jij aan alle vereisten?

Ben jij ondernemer? Dan is de kans groot dat je te maken krijgt met de nieuwe regels van de AVG. HelloLaw kan voor jou analyseren in hoeverre je aan de voorwaarden van deze verordening voldoet. Ze vertellen je welke veranderingen precies nodig zijn. Tevens kunnen zij je helpen met het opstellen van een privacystatement, een verwerkingsovereenkomst of met het uitvoeren van een Data protection impact assessment (DPIA).

Bron: Dit artikel werd eerst gepubliceerd op HelloLaw.com

Afbeelding: Hassan Khan