De AVG, Algemene Verordening Gegevensbescherming (of GDPR) is nu effectief in werking. Alle organisaties in de EU dienen te voldoen aan deze nieuwe wetgeving. De wijzigingen die gepaard gaan met de overgang naar de AVG hebben een behoorlijke impact op organisaties maar bieden ook een kans om de informatiehuishouding / beveiliging op orde te krijgen.
Maar wat is de AVG is en in hoeverre deze verschilt van de Wbp (Wet bescherming persoonsgegevens)?
De AVG is de opvolger van de Wbp en stelt privacyregels aan het gebruik van persoonsgegevens van alle burgers in Europa. De AVG gaat hierin verder dan de Wbp.
Wanneer hebben we het over persoonsgegevens? Dit zijn natuurlijk NAW gegevens, maar ook bankrekeningnummer, cookies, IP adressen etc. En bijzondere persoonsgegevens als gezondheidskenmerken (biomedisch, genetisch), religie, geslacht, etc. wanneer deze in combinatie met een naam of een ander gegeven herleidbaar zijn tot een persoon.
Binnen de Wbp en de AVG wordt er onderscheidt gemaakt tussen de betrokkene, de verantwoordelijke en de verwerker (in de Wbp de bewerker):
De betrokkene heeft binnen de AVG de volgende rechten:
Als verantwoordelijke heeft u daarbij de volgende verplichtingen:
En als verwerker dient u dus:
Voorbeeld
Je organiseert een event inclusief lunch waarbij je de deelnemers vraagt of er speciale dieetwensen zijn. Dit laatste gegeven valt in de bijzondere persoonsgegevens en dus zijn er aanvullende maatregelen voor de bescherming van de persoonsgegevens nodig naast de algemeen geldende privacy eisen. Als je bijvoorbeeld de contactgegevens van de deelnemers ook later nog wilt gebruiken voor nieuwsbrieven e.d. dien je dit bij registratie voor het event duidelijk te melden en toestemming te vragen van de deelnemers!
Voorbeeld
Als organisatie geef je informatie over medewerkers aan een reisbureau voor het boeken van een zakenreis, met toestemming van de medewerker. Het reisbureau mag hierbij aangemerkt worden als verantwoordelijke voor het beheren en verwerken van de verstrekte gegevens. Alleen de informatie noodzakelijk voor het boeken van de reis worden verstrekt en gebruikt.
Onder de Wbp zijn er vrijstellingen voor de melding van verwerkingen waarmee de meeste organisaties gevrijwaard waren van de meldplicht voor verwerkingen. Onder de AVG zijn deze vrijstellingen niet langer van toepassing en is de meldplicht vervangen door een documentatieplicht. Daarbij geldt dat alle organisaties, ook een klein bedrijf of een ZZP-er, een overzicht dienen op te stellen van verwerkingen van persoonsgegevens.
Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen.
Axxemble biedt u een raamwerk voor informatiebeveiliging inclusief een verwerkingsregister voor de meest voorkomende verwerkingen binnen organisaties. Dit doen wij met behulp van Base27 – de online tooling van Axxemble – waarmee u snel op weg bent voor een effectieve implementatie van de AVG.