Informanagement Informanagement
  • Home
  • Producten
    • Papieren nieuwsbrief
    • E-mailnieuwsbrief
    • Nieuwsfeed
    • Social media
    • InforWijzers
    • Mobile App
    • InforMailer
    • Koppelingen
    • Overige uitgaven
  • Referenties
  • Samenwerkingen
  • Blog
  • Contact
  • Mijn Informanagement
    • Informanagement Portal
    • Inloggen proefabonnement
    • Planning 2023
Informanagement Informanagement
  • Home
  • Producten
    • Papieren nieuwsbrief
    • E-mailnieuwsbrief
    • Nieuwsfeed
    • Social media
    • InforWijzers
    • Mobile App
    • InforMailer
    • Koppelingen
    • Overige uitgaven
  • Referenties
  • Samenwerkingen
  • Blog
  • Contact
  • Mijn Informanagement
    • Informanagement Portal
    • Inloggen proefabonnement
    • Planning 2023
mei 23
Aandachtspunten bij invoering AVG

Aandachtspunten bij invoering AVG

  • 23 mei 2018
  • Blog

Met ingang van 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is de opvolger van de Wet bescherming persoonsgegevens (Wbp) en is van toepassing op iedereen die met persoonsgegevens werkt. Voor veel ondernemingen geldt dat onderscheid gemaakt kan worden in twee soorten personen van wie gegevens worden verwerkt, namelijk enerzijds het personeel en anderzijds de klanten. Welke gegevens van personeel (moeten) worden vastgelegd is grotendeels wettelijk bepaald. Welke gegevens van klanten worden vastgelegd is afhankelijk van de aard van het bedrijf. Naarmate meer en ook bijzondere gegevens vastgelegd worden, gelden strengere voorschriften.

Persoonsgegevens

Alle gegevens die betrekking hebben op of zijn te herleiden tot een geïdentificeerde of identificeerbare natuurlijke persoon gelden als persoonsgegevens. Binnen de persoonsgegevens gelden gradaties. Aan de verwerking van bijzondere persoonsgegevens, zoals medische gegevens, etnische gegevens, seksuele of politieke voorkeuren worden strengere eisen gesteld dan aan de verwerking van bijvoorbeeld NAW-gegevens.

Verwerking is iedere vorm van verzamelen, vastleggen of gebruiken van persoonsgegevens in een bestand. Verwerking van persoonsgegevens moet rechtmatig zijn. De AVG bevat een limitatieve opsomming van grondslagen voor een rechtmatige verwerking. De belangrijkste zijn toestemming van de betrokkene, het bestaan van een wettelijke verplichting en het bestaan van een gerechtvaardigd belang. Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor zij verzameld zijn c.q. waarvoor de betrokkene toestemming heeft gegeven. Er mogen niet meer gegevens gevraagd of bewaard worden dan nodig is voor het doel. Toestemming moet expliciet worden gegeven voor bijvoorbeeld het toesturen van nieuwsbrieven of aanbiedingen. Voor het vastleggen van gegevens van personeel gelden wettelijke verplichtingen, zoals het bewaren van een kopie van een identiteitsbewijs. Een voorbeeld van een gerechtvaardigd belang is een overeenkomst van koop en verkoop, waarbij de leverancier de NAW-gegevens van de klant nodig heeft om de levering van het gekochte te kunnen verzorgen.

Bewaren persoonsgegevens

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is het doel waarvoor gegevens zijn verzameld bereikt dan moeten zij vernietigd of teruggegeven worden.

Verwerkersovereenkomst

De AVG schrijft het bestaan van een verwerkersovereenkomst voor tussen de verantwoordelijke voor de verwerking van persoonsgegevens en de derde aan wie de verantwoordelijke de verwerking heeft uitbesteed. Als deze derde zelf het doel en de middelen van de verwerking vaststelt, is hij geen verwerker maar verwerkingsverantwoordelijke.
Verwerkers die persoonsgegevens verwerken voor een groot aantal verwerkersverantwoordelijken doen er goed aan te werken met één (model)verwerkersovereenkomst. Waar een verwerker gebruik maakt van de diensten van andere verwerkers is sprake van sub-verwerking. Sub-verwerking is alleen toegestaan met instemming van de verwerkingsverantwoordelijke. Ook tussen verwerker en sub-verwerker moet een verwerkersovereenkomst worden gesloten. De voorwaarden in de sub-verwerkersovereenkomst moeten aansluiten bij de verwerkersovereenkomst die de verwerker met de verwerkingsverantwoordelijke heeft gesloten.

Een voorbeeld van de verwerking van persoonsgegevens in opdracht van een ander is het uitbesteden van de salarisadministratie door een werkgever. De werkgever moet ervoor zorgen dat hij beschikt over een verwerkersovereenkomst met de salarisadministrateur.

Aandachtspunten bij invoering AVG

1. Bewustwording
Zorg ervoor dat de mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Maak een inschatting van de gevolgen van de AVG voor uw bedrijfsvoering en van de aanpassingen die nodig zijn om aan de AVG te voldoen.

2. Rechten van betrokkenen
Onder de AVG hebben mensen van wie u persoonsgegevens verwerkt meer rechten. Zorg ervoor dat zij deze rechten goed kunnen uitoefenen.

3. Inventariseer verwerkingen
Inventariseer welke gegevensverwerkingen u verricht. Leg vast welke persoonsgegevens u verwerkt met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Beoordeel of u zich daarbij beperkt tot het minimum aan gegevens dat nodig is voor het doel. Wie heeft binnen uw organisatie toegang tot persoonsgegevens en hoe is de toegang daartoe beveiligd? Hoe gaat u om met gegevens die niet meer nodig zijn? Worden die vernietigd en is daar beleid voor? Hoe lang worden gegevens bewaard, wanneer worden gegevens vernietigd en wie is daarvoor verantwoordelijk? Leg dit alles vast in een register. Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat u in overeenstemming met de AVG handelt.

4. Uitgangspunten AVG voor verwerkingsbeleid en -processen
De AVG gaat uit van privacy by design en privacy by default. Dat houdt in dat al bij het ontwerpen van producten en diensten rekening met de bescherming van persoonsgegevens moet worden gehouden. Privacy by default houdt in dat u de nodige maatregelen neemt om ervoor te zorgen dat u als standaard alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel.

5. Functionaris gegevensbescherming
Sommige organisaties zijn verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Wellicht geldt dat voor uw organisatie. Vrijwillig een FG aanstellen mag altijd.

6. Denk aan de meldplicht voor datalekken
De meldplicht datalekken bestond al onder de Wbp. Daar verandert onder de AVG niet veel in. De AVG stelt wel strengere eisen aan de registratie van datalekken. U moet alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan.

7. Toestemming
De AVG stelt strenge eisen aan toestemming voor verwerking. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert en pas deze zo nodig aan. U moet kunnen aantonen dat u geldige toestemming heeft om persoonsgegevens te verwerken. Het intrekken van toestemming mag niet moeilijker zijn dat het geven daarvan.

Verandert er veel door de AVG?

De invoering van de AVG zorgt de laatste tijd voor een hoop ophef. Dat is opmerkelijk, want de tekst van de AVG en de datum van invoering zijn al twee jaar bekend. Inmiddels is ook duidelijk dat veel organisaties hun zaken nog niet op orde hebben. De vraag is of er nu werkelijk iets verandert door de AVG. De burger wordt steeds mondiger, dus verwacht mag worden dat steeds meer mensen zich op hun privacy beroepen en dat organisaties daarmee geconfronteerd zullen worden. In dat licht bezien kan een verbetering van het inzicht van organisaties in wat zij aan persoonsgegevens onder zich hebben, wie daar toegang toe heeft, wat daarmee gebeurt en hoe gegevens beveiligd zijn alleen maar toegejuicht worden. Verder lijkt het qua veranderingen wel mee te vallen.

  • Facebook
  • Twitter
  • LinkedIn
  • E-mail

Reacties zijn gesloten

Recente berichten

  • Het kan lonen om te procederen om het procederen
  • De soep of soap van de toeslagenaffaire
  • Moeten we niet stoppen met vliegen?
  • De transitievergoeding moet op de helling!
  • E-mailnieuwsbrieven en spam

Archieven

  • november 2021
  • februari 2021
  • mei 2020
  • februari 2020
  • december 2019
  • augustus 2019
  • april 2019
  • september 2018
  • mei 2018
  • juni 2017
  • april 2017
  • januari 2017
  • juli 2016
  • mei 2016
  • februari 2016
  • oktober 2015
  • september 2015
  • augustus 2015
  • december 2014
©2021 Informanagement bv   -   Privacy Verklaring   -   Algemene Voorwaarden   -   Sitemap