Bent u klaar voor de nieuwe AVG medio 2018?!

De bestaande regels rondom de bescherming van persoonsgegevens zijn aangescherpt met de invoering van de Algemene Verordening Gegevensbescherming (AVG). Iedere organisatie krijgt met de AVG te maken, omdat vrijwel iedere organisatie persoonsgegevens van klanten en werknemers verwerkt. Op 25 mei 2018 moet de verwerking van persoonsgegevens aan de AVG voldoen. In deze whitepaper zijn de belangrijkste gevolgen voor u als ondernemer samengevat. 

Download whitepaper AVG


Wat gebeurt er als de AVG niet wordt nageleefd?

De gevolgen voor het niet naleven van de AVG kunnen veel groter zijn dan nu het geval is onder de Privacyrichtlijn en de Wbp. De maximale boete bedraagt op dit moment € 4.500,- ; in 2018 kan de toezichthouder op dit terrein (Autoriteit Persoonsgegevens) boetes opleggen die oplopen tot 2% van de jaaromzet en – in het geval van schending van de verplichtingen rondom het melden van datalekken – zelfs tot maximaal 10% van de jaaromzet.

Welke gegevens gelden als persoonsgegevens? 

Elk gegeven dat kan worden herleid naar een levend mens, geldt als een persoonsgegeven. Er is uiteraard veel meer over te zeggen dan deze ene regel; bijvoorbeeld op de website van de Autoriteit Persoonsgegevens vindt u meer informatie over welke gegevens als persoonsgegevens worden aangemerkt. 

Wat is zorgvuldige verwerking?

Uitgangspunt onder de AVG blijft de verplichting om persoonsgegevens zorgvuldig en in overeenstemming met de wet te verwerken. De AVG schept een aantal verplichtingen bij het verwerken van persoonsgegevens die hierna op hoofdlijnen zullen worden besproken. Echter, de hiervoor beschreven norm bestaat uit twee delen en dat betekent dat zelfs als aan alle (wettelijke) eisen van de AVG wordt voldaan, het nog steeds zo kan zijn dat de verwerking als onzorgvuldig wordt beoordeeld.  

De bestaande wettelijke verplichtingen onder de Wbp kunnen worden onderverdeeld in de volgende categorieën:  

  • Voor iedere zogenaamde verwerking van persoonsgegevens is een rechtmatige grondslag nodig.
  • Voordat u met het verwerken van persoonsgegevens start, moet u deze in sommige gevallen melden bij de Autoriteit Persoonsgegevens of intern registreren.
  • Persoonsgegevens mogen niet voor doelen worden gebruikt die onverenigbaar zijn met het doel waarvoor ze aanvankelijk zijn verkregen (het principe van 'doelbinding’).
  • Degene wiens persoonsgegevens het betreft (de betrokkene) heeft het recht om te weten door wie en voor welke doeleinden zijn of haar persoonsgegevens worden verwerkt ('transparantie’).
  • Naast de verplichting om de betrokkene op de hoogte te brengen, moeten ook een aantal andere rechten van de betrokkene worden geborgd.
  • U dient te zorgen voor passende technische en organisatorische maatregelen ter bescherming van de juistheid, volledigheid en integriteit van de persoonsgegevens, oftewel de kwaliteit van de verwerking.
  • Schakelt u derden in bij de verwerking van persoonsgegevens, dan dient u maatregelen te treffen om de kwaliteit van de verwerking ook bij deze zogenaamde bewerkers te waarborgen.
  • Brengt u persoonsgegevens buiten de Europese Economische Ruimte (EU/EER), dan gelden speciale voorschriften voor deze zogenaamde 'doorgifte’.

Hoe kunt u zorgen voor zorgvuldige verwerking?

Door eerst de huidige stand van zaken binnen uw organisatie op voornoemde punten in kaart te brengen, kunt u een start maken met een zorgvuldige verwerking van persoonsgegevens. Daarvoor heeft RWV Advocaten een scan ontwikkeld, waarbij eerst globaal de uitgangspositie organisatiebreed in kaart wordt gebracht. Aan de hand van de uitkomsten van deze scan wordt bepaald waar de organisatie staat en kan een - op uw organisatie en de specifieke situatie afgestemd - plan van aanpak worden opgesteld. 

__________________________________________________________________________________________________________________

Disclaimer

Deze whitepaper is met de grootst mogelijke zorgvuldigheid samengesteld. Aan de inhoud hiervan kunnen geen rechten worden ontleend.