+31 (0) 30 602 16 17

Wat betekent AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. Organisaties moeten hun bedrijfsprocessen op orde brengen met de AVG en ze krijgen hiervoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of, als het een onderneming betreft, 4% van de jaarlijkse wereldwijde omzet, waarbij de hoogste variant geldt.

De Privacyrichtlijn en de daarop gebaseerde Nederlandse Wet Bescherming Persoonsgegevens (Wbp) komen te vervallen. De komst van de AVG brengt nieuwe verplichtingen met zich mee voor het bedrijfsleven, en niet in de laatste plaats voor de sectoren die zich bezig houden met zzp’ers, uitzenden, detachering, payrolling en arbeidsbemiddeling. Onder de AVG krijgen betrokkenen (de mensen van wie persoonsgegevens worden verwerkt) meer en verbeterde privacyrechten. Rechten die ook al golden onder de Privacyrichtlijn en de Wbp blijven bestaan, zoals het recht op inzage en het recht op correctie en verwijdering. Er wordt echter ook een aantal nieuwe rechten geïntroduceerd.

BNR Debat
Privacy en de arbeidsmarkt

AVG en de veranderingen voor organisaties

Organisaties hebben onder de AVG de verplichting om correct om te gaan met het verwerken van gegevens. Bij het inrichten van systemen bijvoorbeeld is het van belang dat deze ‘privacy-vriendelijk’ zijn. De maatregelen moeten als doel hebben de gegevensbeschermingsbeginselen van de AVG (zoals minimale gegevensverwerking) op een doeltreffende manier uit te voeren, waarbij de nodige waarborgen in de verwerking moeten worden ingebouwd (privacy by design).

De belangrijkste thema’s waar organisaties zich op moeten voorbereiden zijn:

Kennis van de wet

Het is belangrijk dat relevante personen in de organisatie bekend zijn met de nieuwe privacyregels en dat ze weten welke aanpassingen er noodzakelijk zijn.

Rechten van betrokkenen

Mensen krijgen onder de AVG meer rechten. Als u gegevens verwerkt van zzp’ers en medewerkers, dan is het belangrijk dat u weet welke rechten zij hebben.

Overzicht verwerkingen

Organisaties hebben de plicht hun gegevensverwerking in kaart te brengen. Belangrijk is dat u aangeeft welke persoonsgegevens u verwerkt met welk doel.

Data protection impact assessment (DPIA)

De DPIA houdt in dat uitgebreid onderzoek moet worden gedaan naar het effect van verwerkingsactiviteiten op de bescherming van persoonsgegevens.

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo wanneer een organisatie:

  1. Op grond van een systematische en uitgebreide beoordeling persoonlijke aspecten van natuurlijke personen evalueert, gebaseerd op geautomatiseerde verwerking (waaronder profiling) en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
  2. Op grote schaal bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt; en
  3. Op grote schaal en systematisch mensen volgt in een voor publiek toegankelijk gebied (bijvoorbeeld door middel van cameratoezicht).

Let op! Dit is geen uitputtende lijst. Voor alle situaties met ene hoog risico voor betrokkenen, moet een DPIA worden uitgevoerd. Buiten deze drie situaties geeft de AVG echter geen overzicht van verwerkingen met een hoog risico.

Privacy by design & privacy by default

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor gezorgd wordt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat er technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie wil bereiken.

Functionaris voor de gegevensbescherming

Voor bepaalde bedrijven en instellingen wordt een functionaris gegevensbescherming (“FG”) verplicht. Deze functionaris moet worden aangewezen door de verwerkingsverantwoordelijke en de verwerker. Deze functionaris wordt ook wel de zogenaamde Data Protection Officer (“DPO”) genoemd.

Meldplicht datalekken

In de AVG wordt een notificatieplicht bij datalekken geïntroduceerd. Nederland heeft alvast een voorschot op deze nieuwe regels genomen door in januari 2016 de Wet meldplicht datalekken in te voeren. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) zodra zij een ernstig datalek hebben direct een melding moeten doen bij de Autoriteit Persoonsgegevens. Soms moeten zij dat datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Verwerkersovereenkomsten

Maakt u gebruik van de diensten van een verwerker, dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst.

Toestemming

U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En mensen kunnen hun toestemming intrekken.

Professionals inhuren en voldoen aan de AVG?

Neem contact opDownload de notitie AVG en de flexbranche

>>Wat betekent AVG?

 
Bent u goed geïnformeerd?

Onze kennis en interpretatie van de wet AVG (GDPR) delen we graag met u!