De nieuwe AVG in een notendop: dit moet je weten
Vanaf 25 mei 2018 geldt er één centrale privacywet voor de verwerking van persoonsgegevens in de EU. Deze AVG heeft grote impact op alle Europese bedrijven, dus ook die van jou. Benieuwd wat deze nieuwe wet inhoudt en waar je aan moet voldoen om een (torenhoge) boete te voorkomen? In dit blog zetten we de belangrijkste zaken voor je op een rij.
Wat is de AVG?
Per 25 mei 2018 is de nieuwe Algemene verordening gegevensbescherming (AVG) van kracht en is de Wet bescherming persoonsgegevens (Wbp) niet langer actief. Deze nieuwe privacywetgeving, ook wel bekend als de General Data Protection Regulation (GDPR), geldt voor alle lidstaten van de EU en zorgt daardoor voor een uniform beleid op het gebied van gegevensbescherming. Het doel van deze wet is om de privacy van burgers te waarborgen en ze te beschermen tegen ongewenste en onrechtmatige inbreuk hierop.
Zo zorgt de AVG onder andere voor:
- Versterking en uitbreiding van privacyrechten
- Meer verantwoordelijkheden voor organisaties
- Uniforme bevoegdheden voor alle Europese privacytoezichthouders
Belangrijk om te melden is dat de nieuwe Europese privacywet voor ieder bedrijf geldt, dus van ZZP’er tot grote multinational; niemand ontkomt aan de AVG.
Welke gevolgen heeft de GDPR voor bedrijven en organisaties?
Als bedrijf of organisatie merk je op verschillende manieren de impact van de Algemene verordening gegevensbescherming. Een van de belangrijkste hierbij is de verantwoordingsplicht. Dit houdt in dat je met documenten moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de privacywetgeving te voldoen. Tegelijkertijd worden echter wel instrumenten geboden om de wet eenvoudiger na te leven, waaronder modelbepalingen voor doorgifte van persoonsgegevens.
Naast de verantwoordingsplicht veranderen met de invoering van de AVG op 25 mei de volgende zaken:
- Je hoeft verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens
- Je kunt verplicht zijn een Data Protection Impact Assessment (DPIA) te doen
- Mogelijk ben je verplicht om een functionaris voor de gegevensbescherming aan te stellen
- Bij overtreding krijg je een boete die kan oplopen tot 4% van je bedrijfsomzet (met een maximum van 20 miljoen euro)
Een voordeel van de wet is dat nu voor alle bedrijven in de EU dezelfde wet geldt en er dus geen scheve situaties rondom gegevensverwerking ontstaan. Vooral ook handig als jouw organisatie in meerdere landen actief is.
Hoe mag je dan wel persoonsgegevens verzamelen?
Vanaf 25 mei 2018 wordt de verzameling van persoonsgegevens dus aan banden gelegd. Toch betekent dit niet dat je niets meer met de gegevens van (potentiële) klanten mag of kunt. In de basis mag je in de volgende situaties persoonsgegevens verzamelen en verwerken:
- Met toestemming van de gebruiker
- Bij vitale belangen
- Bij wettelijke verplichting
- Bij een overeenkomst
- Als dit voor het algemeen belang dient
- Bij gerechtvaardigd belang
Uiteraard geldt bij elk van deze situaties dat de gegevensverwerking veilig en volgens de AVG moet gebeuren. Daarbij hebben betrokkenen het recht om in te zien, te wijzigen, vergeten te worden, gegevens over te dragen en het recht op informatie.
Stappenplan AVG: in 10 stappen voorbereid op de privacywetgeving
Het is dus essentieel om je organisatie goed voor te bereiden op de invoering van de AVG. Daarom helpen we je graag op weg met onderstaand stappenplan.
Stap 1: Bewustwording AVG
Betrek relevante personen bij het nieuwe beleid rondom de privacywetgeving en schat de impact van de AVG op je processen in.
Stap 2: recht van betrokkenen
Door de AVG krijgen personen van wie je gegevens verwerkt meer privacyrechten. Zorg ervoor dat ze deze rechten zoals het recht op inzage en/ of verwijdering goed kunnen uitoefenen.
Stap 3: overzicht verwerkingen
Breng de gegevensverwerking binnen je organisatie in kaart. Documenteer welke persoonsgegevens je deelt, wat het doel is, waar de gegevens vandaan komen en met wie je ze deelt. Dit is belangrijk om de eerder genoemde verantwoordingsplicht na te leven.
Stap 4: data protection impact assessment
Een data protection impact assessment is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Hiermee breng je vooraf de privacyrisico’s van de gegevensverwerking in kaart en bekijk je welke maatregelen nodig zijn om deze te beperken. Kun je geen maatregelen vinden? Dan zal je met de Autoriteit Persoonsgegevens moeten overleggen voordat je met de verwerking start.
Stap 5: privacy by design & privacy by default
Zorg dat je de verwerking van persoonsgegevens al direct bij de basis goed regelt. Dit doe je door bij het ontwerpen van producten en diensten hier al rekening mee te houden. Zorg daarnaast dat de technische middelen die je inzet (bijvoorbeeld een app) enkel de persoonsgegevens verzamelt en verwerkt die noodzakelijk zijn om het doel te bereiken. In de praktijk wordt dit ook wel privacy by design en privacy by default genoemd.
Stap 6: functionaris van de gegevensbescherming
Check of een functionaris van de gegevensbescherming verplicht is voor jouw organisatie. Meer hierover lees je op Autoriteitpersoonsgegevens.nl.
Stap 7: meldplicht datalekken
Aan de meldplicht datalekken verandert weinig. Wel komen er strengere eisen aan de eigen registratie van datalekken binnen je organisatie. Deze dien je allemaal te registreren. Op basis hiervan moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.
Stap 8: verwerkersovereenkomsten
(Her)evalueer of de verwerkersovereenkomsten die je met derden hebt (bv. bedrijven waar je mee samenwerkt) nog aan de nieuwe regels voor gegevensverwerking voldoen. Meer over deze eisen lees je hier.
Stap 9: leidende toezichthouder
Als je organisatie vestigingen in meerdere EU-landen heeft of de gegevensverwerking impact op meerdere lidstaten heeft, hoef je maar met één privacytoezichthouder te werken. Bepaal indien relevant welke leidende toezichthouder dit voor jouw bedrijf is.
Stap 10: toestemming
De AVG stelt strengere eisen aan gegevensverwerking. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Houd er hierbij rekening mee dat je vanaf 25 mei ook moet kunnen aantonen dat je geldige toestemming hebt gekregen om de persoonsgegevens te verwerken én dat het gemakkelijk moet zijn om deze toestemming weer in te trekken.
Jouw klantdata in goede handen
Het mag duidelijk zijn dat je als bedrijf op 25 mei 2018 écht klaar moet zijn voor de invoering van de nieuwe privacywet. Ook bij DigiReceptie zijn we hier druk mee bezig aangezien we voor veel bedrijven persoonsgegevens verwerken en veel met verwerkersovereenkomsten werken.
Wij kunnen u ontzorgen als het om beheer van bezoekersregistratie gaat. Met DigiReceptie maakt u uw organisatie op dit punt eenvoudig klaar voor de AVG.