Wat is de AVG?

De AVG, Algemene Verordening Gegevensbescherming (of GDPR) is nu effectief in werking. Alle organisaties in de EU dienen te voldoen aan deze nieuwe wetgeving. De wijzigingen die gepaard gaan met de overgang naar de AVG hebben een behoorlijke impact op organisaties maar bieden ook een kans om de informatiehuishouding / beveiliging op orde te krijgen.

 

Maar wat is de AVG is en in hoeverre deze verschilt van de Wbp (Wet bescherming persoonsgegevens)?

De AVG is de opvolger van de Wbp en stelt privacyregels aan het gebruik van persoonsgegevens van alle burgers in Europa. De AVG gaat hierin verder dan de Wbp.

 

Wanneer hebben we het over persoonsgegevens? Dit zijn natuurlijk NAW gegevens, maar ook bankrekeningnummer, cookies, IP adressen etc. En bijzondere persoonsgegevens als gezondheidskenmerken (biomedisch, genetisch), religie, geslacht, etc. wanneer deze in combinatie met een naam of een ander gegeven herleidbaar zijn tot een persoon.

Wilt u weten hoe u de AVG kunt implementeren?

 

Binnen de Wbp en de AVG wordt er onderscheidt gemaakt tussen de betrokkene, de verantwoordelijke en de verwerker (in de Wbp de bewerker):

  • De betrokkene is persoon van wie gegevens vastgelegd/verwerkt worden en is vanzelfsprekend eigenaar van deze gegevens.
  • De verantwoordelijke is de organisatie die persoonsgegevens in beheer heeft.
  • De verwerker is de persoon/organisatie die de persoonsgegevens verwerkt met betrekking tot het doel.

 

De betrokkene heeft binnen de AVG de volgende rechten:

  • Toestemming voor gebruik en recht op transparante informatie en communicatie;
  • Inzage in doel en verwerkingen van zijn/haar gegevens + beperking van gebruik van de gegevens tot het doel van de verwerking;
  • Correctie/verwijdering van zijn/haar gegevens en kennisgeving van verwijdering;
  • Beperking van overdracht van gegevens aan anderen anders dan noodzakelijk voor het doel van de verwerking; en
  • Bezwaar maken en geen automatische verwerking (o.a. cookies).

Als verantwoordelijke heeft u daarbij de volgende verplichtingen:

  • Aantoonbaarheid om te voldoen aan deze regelgeving (documentatieplicht), denk aan:
    • verwerkingsregister;
    • verwerkersovereenkomsten;
  • Privacyregels proactief toepassen op uw activiteiten (privacy by design / default) en het uitvoeren van een privacy impact assessment voor “grootschalige” verwerking van persoonsgegevens;
  • Verantwoordelijke aanwijzen voor bescherming persoonsgegevens (verplicht bij organisaties > 250 personen en bij grootschalige verwerking van persoonsgegevens;
  • Duidelijke afspraken maken met verwerkers;
  • Uitsluitend op basis van overeengekomen doel en werkwijze verwerkingen uitvoeren;
  • Uw informatiebeveiliging op orde hebben (proportioneel aan het risico);
  • Betrokkenen informeren bij datalek (naast melding bij de Autoriteit Persoonsgegevens (AP)).

 

En als verwerker dient u dus:

  • Duidelijke afspraken met verantwoordelijke te maken;
  • Uitsluitend op basis van overeengekomen doel en werkwijze verwerkingen uitvoeren;
  • Documentatie van alle verwerkingen;
  • Uw informatiebeveiliging op orde hebben (proportioneel aan het risico);
  • Verantwoordelijke informeren bij datalek (die de afhandeling van het datalek uitvoert).
Wanneer is de AVG van toepassing?

Voorbeeld

Je organiseert een event inclusief lunch waarbij je de deelnemers vraagt of er speciale dieetwensen zijn. Dit laatste gegeven valt in de bijzondere persoonsgegevens en dus zijn er aanvullende maatregelen voor de bescherming van de persoonsgegevens nodig naast de algemeen geldende privacy eisen. Als je bijvoorbeeld de contactgegevens van de deelnemers ook later nog wilt gebruiken voor nieuwsbrieven e.d. dien je dit bij registratie voor het event duidelijk te melden en toestemming te vragen van de deelnemers!

 

Voorbeeld

Als organisatie geef je informatie over medewerkers aan een reisbureau voor het boeken van een zakenreis, met toestemming van de medewerker. Het reisbureau mag hierbij aangemerkt worden als verantwoordelijke voor het beheren en verwerken van de verstrekte gegevens. Alleen de informatie noodzakelijk voor het boeken van de reis worden verstrekt en gebruikt.

Verschil met de Wbp

Onder de Wbp zijn er vrijstellingen voor de melding van verwerkingen waarmee de meeste organisaties gevrijwaard waren van de meldplicht voor verwerkingen. Onder de AVG zijn deze vrijstellingen niet langer van toepassing en is de meldplicht vervangen door een documentatieplicht. Daarbij geldt dat alle organisaties, ook een klein bedrijf of een ZZP-er, een overzicht dienen op te stellen van verwerkingen van persoonsgegevens.

Hoe pak je de implementatie van de AVG aan?

Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen.

 

  1. Benoem rollen en verantwoordelijkheden;
  2. Identificeer en registreer verwerkingen;
  3. Sluit verwerkersovereenkomsten af (waar nodig);
  4. Realiseer voorzieningen voor de rechten van betrokkenen;
  5. Neem maatregelen voor een adequate beveiliging.

 

Bekijk wat wij voor u kunnen betekenen

Axxemble biedt u een raamwerk voor informatiebeveiliging inclusief een verwerkingsregister voor de meest voorkomende verwerkingen binnen organisaties. Dit doen wij met behulp van Base27 – de online tooling van Axxemble – waarmee u snel op weg bent voor een effectieve implementatie van de AVG.

Interesse in onze oplossing?