Privacywetgeving en de AVG

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze wet regelt, in heel Europa, onder andere dat mensen meer rechten en mogelijkheden krijgen om aan te geven hoe er wordt omgegaan met de eigen persoonsgegevens. Op bepaalde punten geeft de Europese Verorderning ruimte aan lidstaten. Bijvoorbeeld over hoe ondernemingen om mogen gaan met BSN. Lidstaten mogen dat verder uitwerken in eigen wetten. In Nederland is dat de Uitvoeringswet AVG, deze is op 16 mei 2018 in werking getreden. 

Gevolgen AVG en Uitvoeringswet AVG

Belangrijke gevolgen voor uw organisatie zijn onder andere: 

  1. U moet rechtmatig, behoorlijk en transparant omgaan met gegevens van natuurlijke personen. Dat betekent dat u de personen goed moet informeren over wat u met de gegevens doet en of u ze wellicht doorgeeft aan andere organisaties. Deze informatie moet u vooraf geven, dus voordat de persoon zijn gegevens aan u afgeeft. Waarom een organisatie bepaalde gegevens wilt verwerken wordt ook wel doelbinding genoemd. Een organisatie moet doelen stellen die bereikt kunnen worden met het verwerken van persoonsgegevens, en daar moet duidelijk over gecommuniceerd worden. 
  2. Wanneer uw organisatie méér met persoonsgegevens wilt doen dan de wet verplicht, dan is er in veel gevallen toestemming nodig van de betrokkene. Ook die toestemming moet verkregen worden nadat u de betrokkene duidelijk heeft geïnformeerd over wat u met die gegevens wilt doen voordat de toestemming wordt gegeven. 
  3. Personen waarvan de gegevens worden verwerkt hebben allerlei extra rechten gekregen. Dit zijn onder andere recht op inzage, en eventueel het recht op afgifte van een kopie van de gegevens die verwerkt worden, recht op informatie over de wijziging van de gegevens, recht van verzet, recht op beperking en recht op overdraagbaarheid. Wanneer iemand een verzoek doet om zijn rechten uit te oefenen dan bent u verplicht dit binnen een maand op te pakken. Het is dan wel heel verstandig als u weet op welke plekken de persoonsgegevens zijn opgeslagen. Ook kan het verstandig zijn om goed de informatiestromen (bijvoorbeeld emailboxen) in kaart te brengen. 
  4. Wanneer u persoonsgegevens verwerkt mogen dit niet méér persoonsgegevens zijn dan noodzakelijk om gestelde doelen te bereiken. Dit wordt ook wel "toereikend, ter zake dienend een beperkt tot het noodzakelijke" genoemd, en in meer juridische termen: de verwerking moet voldoen aan de eisen van proportionaliteit en subsidiariteit. Ingewikkeld maar heel belangrijk om te kunnen voldoen aan de AVG! 

 

Handhaving en boetes

De handhaving is op twee manieren geborgd in de AVG en de Uitvoeringswet AVG. Enerzijds kan een betrokkene zelf een civielrechtelijke voorziening in rechte instellen tegen de organisatie die (vermoedelijk) onrechtmatig gegevens verwerkt. Daarbij heeft de betrokkene meer rechten gekregen:

  1. hij heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  2. hij heeft het recht op vertegenwoordiging. Dat betekent dat hij bijvoorbeeld een advocaat of jurist van de rechtsbijstand mag machtigen om namens hem op te treden in rechte. 
  3. hij heeft het recht op schadevergoeding (zowel materieel als immatrieel)

Anderzijds kan de AVG u een forse boete opleggen. Voldoet u niet aan de AVG, of is het vermoeden dat u niet voldoet aan de AVG stelt de Autoriteit Persoonsgegevens een onderzoek in. Dit kan bijvoorbeeld nadat een betrokken een klacht heeft ingediend of wanneer er sprake is geweest van een datalek die eenvoudig voorkomen had kunnen worden. Uiteindelijk kunt u zelfs een boete krijgen die kan oplopen tot € 20.000.000,- of 4% van de totale omzet (afhankelijk welke hoger uitvalt).

De boetes zijn zo flink omdat men wil voorkomen dat organisaties toch in strijd met de AVG doorgaan met verwerken en de risico's incalculeren. 

Welke maatregelen neemt u? 

De maatregelen die u bijvoorbeeld kunt nemen om te voldoen aan de AVG zijn 'dataminimalisatie': u verzamelt en verwerkt alleen die persoonsgegevens die nodig zijn om het doel van uw organisatie te bereiken. 

Maatregelen kunnen bijvoorbeeld ook liggen op de aspecten van beleid en interne organisatie (procedures en werkafspraken), techniek (hard- en software) en fysieke toegang. 

Echter, voordat u goede maatregelen kunt nemen is het altijd verstandig om te beginnen met een inventarisatie. Kijk eens kritisch naar uw eigen organisatie en ga na welke gegevens u verwerkt, wat voor soort gegevens dit zijn en op welke plek u deze bewaard. VRO heeft hiervoor een handige checklist ontwikkeld. 

Goed op weg met de AVG

Jelmer Boer, privacy & security officer van VRO, kan u helpen door bijvoorbeeld een quickscan te doen bij uw organisatie. Als u goed voorbereid bent op de nieuwe wetgeving voorkomt u hoge boetes en imagoschade. Heeft u vragen of wilt u gewoon eens van gedachten wisselen over dit onderwerp, neem dan contact op met Jelmer Boer via telefoonnummer +31888944040 of per e-mail. 

Meer informatie? 

Wilt u meer informatie over de nieuwe wetgeving en hoe u zich daarop kunt voorbereiden? Lees dan de Handleiding Algemene verordening gegevensbescherming van de overheid. 

Kennis opdoen die u direct voor uw organisatie kunt toepassen? Schrijf u dan in voor de Zomertraining AVG: Hoe hoog is uw beschermingsfactor?

Praktische training, direct toepasbaar!