De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR): veel is er al over geschreven en 25 mei 2018 nadert. Toch is nog niet elke organisatie zich bewust van de impact van deze wet- en regelgeving, terwijl deze voor iedere organisatie en daarbij behorende afdelingen zal gelden, van IT tot marketing, van HR tot finance.

In onderstaand artikel vind je tien belangrijke punten die voor elke organisatie zullen gelden. Riskeer geen hoge boetes en maak jouw organisatie nu privacy proof. Netflex Legal brengt je graag in contact met een (ervaren) Privacy Officer die je met het proces kan helpen. Of dit nu gaat om een nulmeting – om te zien waar je als organisatie staat – of de algehele implementatie van de regelgeving.

Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van kracht zijn. Deze Europese verordening heeft gevolgen voor hoe bedrijven moeten omgaan met persoonsgegevens van bijvoorbeeld medewerkers, leveranciers en klanten. Alle organisaties zoals grote ondernemingen, mkb, stichtingen en coöperaties worden getroffen door de nieuwe regelgeving.

Wat betekent dit in de praktijk?

  1. De regelgeving is in de hele Europese Unie gelijk
    De AVG is een verordening en niet slechts een EU-richtlijn. Hierdoor is de regelgeving overal gelijk. Positief dus voor organisaties die in meerdere landen opereren. Lokale overheden krijgen wel de kans om hier bovenop wetgeving te maken naar eigen behoefte omtrent de bescherming van persoonsgegevens. Een voorbeeld hiervan in Nederland is de Autoriteit Persoonsgegevens.
  2. Ook geldig buiten de Europese Unie
    De AVG geldt ook voor organisaties die niet in de Europese Unie (EU) gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren.
  3. Hoge boetes kunnen worden opgelegd
    Het zal per 25 mei 2018 toegestaan zijn om strenge sancties op te leggen. Deze boetes kunnen maximaal oplopen tot 20 miljoen euro of tot vier procent van de jaaromzet per overtreding. Ook wordt er in de AVG bepaald dat de lidstaten zelf sancties moeten bepalen en opleggen op inbreuken waarop geen sancties zijn bepaald in de AVG.
  4. Registratie van verwerkingen van persoonsgegevens 
    Organisaties moeten nu zelf al hun verwerkingen van persoonsgegevens registreren. Je hoeft dit niet meer te melden bij de Autoriteit Persoonsgegevens. Zijn er meer dan 250 medewerkers in dienst of wordt er gevoelige data verwerkt? Dan moet je een register maken waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, de grondslag en de genomen beveiligingsmaatregelen.
  5. Geldige toestemming bij verwerking persoonsgegevens 
    Toestemming voor verwerking van persoonsgegevens van de persoon in kwestie is noodzakelijk. Als organisatie moet je kunnen bewijzen dat je geldige toestemming hebt gekregen om die data te verwerken. In de AVG staat wat de voorwaarden zijn voor organisaties om geldige toestemming te verkrijgen.
  6. Aanstellen van een Functionaris Gegevensbescherming
    Jouw organisatie kan verplicht worden om een Functionaris Gegevensbescherming (ook wel Privacy Officer of Data Protection Officer genoemd) aan te stellen. Dit zal in ieder geval voor publieke instanties zijn en organisaties die stelselmatig op grote schaal personen observeren of bijzondere persoonsgegevens verwerken. De Functionaris Gegevensbescherming moet onafhankelijk kunnen functioneren en ziet toe op de omgang met persoonsgegevens binnen een organisatie.
  7. Melding datalek in de hele EU verplicht 
    Organisaties worden verplicht om datalekken te melden. Deze meldplicht bestond al in de Nederlandse Wet Meldplicht Datalekken. Nederland liep dus enigszins voorop. Nu is deze meldplicht aan de AVG toegevoegd, zodat dit ook in andere landen gaat gelden. Indien er een datalek is, zal de toezichthouder ingelicht moeten worden. Daarnaast moet de betreffende persoon/personen van wie de gegevens zijn gelekt, ingelicht worden.
  8. Vrijer gebruik van identificatienummers 
    Vrijer gebruik van identificatienummers wordt mogelijk gemaakt doordat het verbod op de verwerking van identificatienummers wordt opgeheven. Denk hierbij aan het Burgerservicenummer (BSN). Lokale overheden mogen wel aanvullende voorwaarden stellen aan het gebruik van identificatienummers.
  9. Hoog privacyrisico? Privacy Impact Assessment verplicht
    Levert een gegevensverwerking naar alle waarschijnlijkheid een hoog privacyrisico op? Dan ben je als organisatie verplicht om een Privacy Impact Assessment uit te voeren. Het doel hiervan is de gegevensverwerking in kaart te brengen en de eventuele risico’s die dit met zich brengt te verkleinen.
  10. Het recht om vergeten te worden
    De privacy van personen wordt door de AVG beter beschermd. Nu hebben personen het recht om een organisatie te vragen hun gegevens te verwijderen. Door de nieuwe regelgeving krijgen zij ook het recht om de organisatie te eisen de verwijdering door te geven aan alle andere organisaties die deze gegevens hebben gekregen. Dit wordt ook wel het ‘recht om vergeten te worden’ genoemd.

Meer weten? Neem contact op met onze privacyspecialisten van Netflex Legal! Je kunt hen bereiken via 088-6383590 of privacy@netflexlegal.nl.