Algemene verordening gegevensbescherming (AVG)

avg
Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

Op 27 april 2016 is deĀ Algemene Verordening Gegevensbescherming (AVG) formeel aangenomen en gepubliceerd. Van af deze datum geldt deze privacy wetgeving in de hele Europese unie. De wet bescherming persoonsgegevens (WBP) geldt dan niet meer. Wij hebben tot 25 mei 2018 de tijd om ervoor te zorgen dat wij straks aan deze nieuwe verordening voldoen. Vanaf die datum zal de verordening in werking treden. Er is dus straks 1 regelgeving in heel de Europese unie.

Wat houdt de wet AVG in?

De wet zorgt ervoor dat de positie van de mensen waar de gegevens van worden verwerkt wordt versterkt. Zij krijgen nieuwe privacy rechten en hun bestaande rechten worden sterker. De organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Organisaties moeten meer dan ooit tevoren kunnen aantonen dat zij zich aan de wet houden.

De nieuwe wet binnen de organisatie

De relevante mensen in de organisatie moeten op de hoogte worden gebracht van deze nieuwe privacy wet (AVG). Als organisatie moet je dan gaan kijken naar de huidige processen, diensten en goederen en wat hier aan veranderd moet worden om aan de nieuwe wetgeving (AVG) te voldoen. De implementatie van de nieuwe wetgeving zal veel tijd kosten, dus begin op tijd hieraan. De autoriteiten organisatie kan de organisatie sancties opleggen van maximaal 20 miljoen euro of 4% van de omzet. Wanneer de organisatie niet voldoet aan de nieuwe privacy wetgeving.

Rechten betrokkenen

De mensen waarvan persoonsgegevens verwerkt worden krijgen meer en verbeterde privacy. Er moet voor gezorgd worden dat zij hun rechten goed kunnen uitoefenen. Denk hierbij aan de volgende wetten.

  • Recht op inzage
  • Recht op correctie
  • Recht op verwijdering

Er moet ook worden nagedacht over de nieuwe wetten, zoals de wet voor dataportabiliteit. Bij deze wet moet u ervoor zorgen als organisatie dat de klant makkelijk hun gegevens kunnen krijgen en deze kunnen doorspelen aan andere partijen indien zij dat willen.

Overzicht verwerkingen

Als organisatie heb je een documentatie plicht. Dit houd in dat wij als organisatie moeten documenteren en dus kunnen aantonen waar wij de gegevens vandaan hebben, welke persoonsgegevens we verwerken, met welk doel en aan welke andere partijen spelen we deze persoonsgegevens door en waarom.

PrivacyĀ impact assessmentĀ (PIA)

Wanneer de persoonsgegevens een verhoogt risico met zich meebrengen. Moet er een privacy wetgeving genaamd de PIA worden uitgevoerd. Dit houd in dat de organisatie de risicoā€™s in kaart moet brengen en een plan moet bedenken om de risicoā€™s hiervan te verkleinen.

Classificatie

Er wordt gekeken naar de volgende aspecten:

  • Beschikbaarheid
  • integriteit
  • vertrouwelijkheid

Privacy bij design

Al tijdens het ontwerpen van producten en diensten moet er worden nagedacht over de privacyverhogende maatregelen en data minimalisatie

Privacy bijĀ default

Dit houd in dat wij technische en organisatorische maatregelen moeten nemen. Om er vervolgens voor te zorgen dat alle apparaten en software privacy vriendelijke standaard instellingen bevatten.

We verwerken alleen persoonsgegevens die noodzakelijk zijn voor de organisatie en de producten en/of diensten. Bijvoorbeeld wanneer er een app aangeboden wordt en hierin de locatie van de gebruiker wordt opgevraagd terwijl dit niet nodig is.

Functionaris gegevens bescherming

Binnen de organisatie moet er iemand komen die toezicht houd op alles wat rondom deze nieuwe privacy wet gebeurd of alles goed wordt toegepast en verwerkt.

Melding maken datalekken

Wanneer er een data lek ontstaat dus wanneer persoonsgegevens in handen vallen van derden die geen rechten hebben op deze gegevens. Wanneer dit gebeurd moet hier melding van worden gemaakt volgens de nieuwe privacy wetgeving (AVG). Hierdoor worden er strengere regels en eisen gesteld op de registratie en documentatie van onze eigen organisatie. Alle datalekken moeten worden gedocumenteerd.

Wanneer werknemers persoonsgevens op hun apparaten hebben staan zoals een telefoon of laptop moet de organisatie hiervan op de hoogte zijn aangezien dit kwetsbare apparaten zijn. Die makkelijk gestolen kunnen worden of in ieder geval in verkeerde handen terecht kunnen komen.

Bewerkingsovereenkomst

Wanneer er bijvoorbeeld een bewerker in aanmerking komt om gegevens te bewerken moet hiervoor een contract worden opgesteld. Hierin moeten afspraken staan over het verwerken van deze gegevens. De andere organisatie moet hierbij op de hoogte worden gesteld over wat wij hebben verteld aan onze klanten over de manier waarop wij omgaan met hun gegevens. De contracten moeten continu worden aangepast indien nodig.

Leidende toezichthouder

Wanneer alles volgens de nieuwe wetgeving AVG is verwerkt. Hoeft er nog maar 1 toezichthouder te zijn waar iedereen contact mee heeft over de nieuwe wetgeving en hoe deze is toegepast binnen de organisatie.

Toestemming

De verordening stelt strengere eisen aan toestemming. Als organisatie moet je kunnen aantonen dat je toestemming hebt gekregen van de klant of andere partijen deze persoonsgegevens te registreren en gebruiken. Voor klanten moet het net zo makkelijk zijn deze toestemming te geven en terug te trekken.

Waar mogen wij het gratis voorbeeld naartoe sturen?

Vergeet niet jouw gratis voorbeeld website aan te vragen!