AVG factsheet (Algemene Verordening Gegevensbescherming)

Wat is de AVG?

De Algemene Verordening Gegevensbescherming, kortweg AVG (Eng: General Data Protection Regulation, oftewel GDPR), is de naam van de nieuwe Europese verordening voor de verwerking van persoonsgegevens. Deze nieuwe verordening is in alle lidstaten van de Europese Unie van kracht sinds 25 mei 2018. In de AVG staan een aantal verplichtingen voor organisaties, instellingen en ondernemingen. Zo moeten er organisatorische en technische maatregelen worden genomen om de privacy te waarborgen van de persoonsgegevens die worden verwerkt.

Wanneer treedt de AVG in werking?

De Europese verordening die nu bekend staat als de AVG is al op 14 april 2016 aangenomen. De partijen waar de AVG betrekking op heeft, hebben twee jaar de tijd gekregen om de te voldoen aan de verplichtingen die voortvloeien uit deze Europese verordening. Het gevolg is dat alle organisaties die persoonsgegevens verwerken op 25 mei 2018 AVG-proof moeten zijn.

Welke organisaties moeten voldoen aan de AVG?

Op nagenoeg elke organisatie, zowel privaat als publiek, die te maken hebben met de verwerking van persoonsgegevens, moeten voldoen aan de AVG. Dit geldt dus niet alleen voor organisaties die enkel verantwoordelijk zijn voor het verwerken van persoonsgegevens, maar ook voor organisaties die dit in opdracht doen. Dit geldt dus ook in een situatie waarbij een organisatie primair bedrijven als klant heeft. Bij die klant kunnen immers ook persoonsgegevens worden verwerkt.

Wat zijn de belangrijkste veranderingen ten opzichte van de WBP?

Als ondernemer heeft u al snel te maken met een aantal belangrijke verplichtingen die voortvloeien uit de AVG. De belangrijkste verplichtingen zijn de volgende:

  • Gedetailleerd vastleggen van de gegevensverwerkingen.
    Organisaties zijn vanuit de AVG verplicht een aantal zaken gedetailleerd te documenteren. Zo moet worden bijgehouden welke gegevens men verwerkt, hoe deze worden verwerkt, het doel van de gegevensverwerking en de maatregelen die zijn genomen om de privacy te waarborgen.
  • Organisaties die gebruik maken van derden voor de verwerking van persoonsgegevens dienen met deze derden een geldige verwerkersovereenkomst te hebben afgesloten.
  • Organisaties die gebruik maken van profilering (geautomatiseerde besluitvorming), moeten de betrokkenen correct informeren.
  • Organisaties die zich bezighouden met de grootschalige verwerking van persoonsgegevens dienen een Functionaris Gegevensbescherming aan te stellen.

Welke consequenties verbindt de AVG aan de richtlijnen?

De rol van de Autoriteit Persoonsgegevens (AP) blijft in grote lijnen ongewijzigd. Met de inwerkingtreding van de AVG blijft deze belast met het toezicht op de juiste naleving van de geldende regelgeving. Het grote verschil is dat het nu wel mogelijk is om handhavend op te treden: er kunnen boetes worden uitgedeeld. Deze boetes kunnen behoorlijk hoog uitpakken: 20 miljoen euro of vier procent van de wereldwijde omzet van de organisatie die in overtreding is.

Wat betekent dit voor mijn Functionaris Gegevensbescherming?

Vanuit de AVG is het aanstellen van een Functionaris Gegevensbescherming (FG) voor veel organisaties verplicht. Deze FG is binnen uw organisatie belast met het toezicht op het naleven van de verplichtingen die voortvloeien uit de AVG. Er zijn echter grote verschillen over de manier waarop hier vorm aan kan worden gegeven. Hierin is elke organisatie vrij. De rol van de FG wordt door middel van de AVG echter veel prominenter. Het programma Gegevenslandschap heeft in opdracht van de Regieraad Gegevens een handreiking gemaakt voor organisaties om hier op de juiste manier invulling aan te geven.

Wat betekent dit voor internationale samenwerkingsverbanden?

Indien er in uw organisatie sprake is van het uitbesteden van specifieke taken, dan geldt hiervoor ook de verplichting tot het opstellen van een geldige verwerkersovereenkomst. Betreft het een uitbesteding aan een partij die buiten het gebied van de EU is gevestigd, dan zal er goed onderzoek naar moeten worden gedaan of de waarborgen voor de bescherming van de privacy van de persoonsgegevens voldoende zijn. Te denken valt aan het hanteren van standaarden als ‘privacy shield’ voor de Verenigde Staten.

Wat is Privacy by Design of Privacy by Default?

Privacy by Design en Privacy by Default nemen binnen de AVG een belangrijke positie in. Hiermee wordt bedoeld dat bij het ontwerpen van systemen (Design) verplicht is om rekening te houden met de bescherming van persoonsgegevens. De technische en organisatorische maatregelen moeten de noodzaak tot de verwerking van persoonsgegevens beperken tot het hoogst noodzakelijke. Vervolgens dient dit als standaard te worden gehanteerd (Default).

Meer informatie over: Algemene Verordening Gegevensbescherming

bron digitale overheid