AVG handleiding

avg-handleidingDe AVG is een flink document, en niet eenvoudig om te lezen. Er worden veel termen gebruikt die op het eerste oog niet meteen duidelijk zijn, en het is lastig een duidelijk lijn te vinden in de tekst. Gelukkig heeft het Ministerie van Justitie en Veiligheid (Nu Veiligheid en Justitie) samen met de Autoriteit Persoonsgegevens een handleiding uitgegeven. In dit artikel geven wij een korte recap van de AVG, vertellen wij wat er in de handleiding staat, hoe je hem moet gebruiken, en waar hij te downloaden is.

Waarom de AVG?

De AVG, of GDPR in het Engels, is ontstaan als harmonisatie van Europese wetgeving op het gebied van privacy en gegevensbescherming. De voorloper van de AVG, de Data Protection Directive, was een Europese Richtlijn. Richtlijnen zijn eigenlijk een set aan eisen, die door alle (momenteel 28) Europese Lidstaten overgenomen moeten worden in lokale wetgeving. Dit zorgt ervoor dat een wet beter bij een land past, maar dat de wetten onderling best wel kunnen verschillen. Met de AVG is er nu één centrale wet, waar alle lidstaten zich aan moeten houden. Elk land mag wel een paar details invullen. Op deze manier verschillen de regels tussen landen een stuk minder, en is zakendoen tussen-en met EU-landen een stuk eenvoudiger.

Wat staat er in de AVG handleiding?

De handleiding AVG is een stuk pragmatischer ingestoken dan de AVG zelf. Het richt zich vooral op bedrijven, en beantwoordt concrete vragen. De handleiding begint met enkele stroomschema’s en tabellen, waaruit je bijvoorbeeld kunt afleiden of je voor een bepaalde set persoonsgegevens verwerker of verantwoordelijke bent. De rest van de handleiding maakt hier handig gebruik van. Na een introductie in de AVG, en basisvragen als “Is de AVG op mij van toepassing” en “Is mijn gegevensverwerking legitiem?”, is de handleiding grofweg in drie delen gesplitst: “Wat zijn mijn plichten als verantwoordelijke”, “Wat zijn mijn plichten als verwerker?”, en een laatste stuk over rechten van betrokkenen, persoonsgegevens naar het buitenland sturen, en toezicht.

Plichten als verantwoordelijke

De kans is groot dat u verantwoordelijke bent voor een bepaalde set persoonsgegevens. Als u werknemers in dienst hebt, bent u voor de bijbehorende verwerkingen (salarisadministratie, functioneringsgesprekken, etc.) in ieder geval verantwoordelijk. Ook voor alle andere verwerkingen waar u het doel en de middelen bepaalt bent u verantwoordelijk. Volgens de handleiding moet u ten minste de volgende maatregelen nemen:

  • Bijhouden van een verwerkingsregister;
  • Een FG aanstellen (in bepaalde gevallen);
  • Een DPIA uitvoeren voor u risicovolle verwerkingen gaat doen;
  • De Autoriteit Persoonsgegevens raadplegen als de DPIA een hoog restrisico aangeeft;
  • Rekening houden met privacy by design en privacy by default;
  • Passende beveiligingsmaatregelen opzetten om persoonsgegevens te beschermen;
  • Datalekken bij de AP en betrokkenen te melden als de impact op de betrokkenen groot was;
  • Afspraken met verwerkers maken, bijvoorbeeld door middel van een verwerkersovereenkomst.

ISO2HANDLE en AVG-beheer

ISO2HANDLE heeft een groot netwerk van consultants die u met uw AVG certificaat beheer kunnen helpen. Zij hebben alle nodige kennis in huis, maar gebruiken de handleiding ook regelmatig als naslagwerk. Mocht je ondersteuning zoeken bij je AVG en privacy huishouden of een Functionaris voor Gegevensbescherming zoeken, neem dan contact met ons op, en wij zoeken een consultant die bij je past.

De handleiding zelf is hier te downloaden.