Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Met deze nieuwe Europese privacywetgeving krijgen burgers meer rechten en organisaties meer verantwoordelijkheden.

Wat is de AVG?

De AVG staat internationaal ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). Het is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) zal vervangen. Omdat iedere organisatie tegenwoordig persoonsgegevens verwerkt, krijgt ook iedere organisatie te maken met de AVG.

De AVG is strenger dan de Wpb. Zo krijgen burgers meer en stevigere privacyrechten en krijgen organisaties meer verantwoordelijkheden. Organisaties moeten bovendien kunnen aantonen dat zij zich aan de AVG houden.

Op dit moment zijn veel organisaties nog onvoldoende voorbereid op de AVG. Dat is risicovol, want de Autoriteit Persoonsgegevens krijgt vanaf 25 mei 2018 meer bevoegdheden. De Autoriteit Persoonsgegevens kan bovendien hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Hoe wordt uw organisatie compliant?

Bent u ook nog niet voorbereid op de AVG? Dan is het belangrijk om op korte termijn een aantal stappen te nemen.

Door de ruime formulering van de AVG vallen straks veel gegevens onder het begrip ‘persoonsgegevens’. Het is dus belangrijk dat u begint met het in kaart brengen van uw gegevensverwerkingen. Denkt u daarbij niet alleen aan de verwerking binnen uw primaire processen, maar ook aan de verwerking van gegevens die u via uw website verzamelt. Beschrijft u ook de gevoeligheid van de gegevens en de risico’s die u loopt.

Heeft u uw gegevensverwerking (gedeeltelijk) uitbesteed aan een verwerker, zoals IT-leveranciers of een salarisadministrateur? Dan is het belangrijk dat de contracten die u met hen heeft afgesloten voldoen aan de AVG. Laat u die contracten dus beoordelen en, waar nodig, aanpassen.

Onder de AVG krijgen burgers meer en stevigere privacyrechten. Het is daarom noodzakelijk dat u uw privacybeleid op onder andere de volgende punten afstemt op de AVG:

  • Beschrijf hoe uw organisatie omgaat met de onder de AVG verplichte uitgangspunten van ‘privacy by design’ en ‘privacy by default’. Dit houdt in dat uw organisatie er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens worden beschermd en dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel dat u wilt bereiken.
  • Zorg ervoor dat de manier waarop u toestemming vraagt, krijgt en registreert voor de verwerking van persoonsgegevens voldoet aan de eisen van de AVG. Zo heeft u voor sommige gegevensverwerkingen straks expliciet toestemming nodig van de betrokkenen. De AVG stelt hier strenge eisen aan.
  • Stel een protocol datalekken op en houd een register bij.