10 dingen die je vóór 2018 over de AVG moet weten

25 mei 2018 is D-Day voor elke organisatie met klanten (of burgers). En dat is dus élke organisatie. Want dan treedt de Algemene Verordening Gegevensbescherming écht in werking. Hij geldt namelijk nu al, maar vanaf die dag gaat de Autoriteit Persoonsgegevens dit nieuwe pakket Europese regels handhaven.

De AVG staat inmiddels ook wel bekend als ‘de nieuwe privacywet’ – en dat is best goed omschreven. Want de AVG omschrijft precies wat een organisatie wel en niet met persoonsgegevens mag doen, tot en met de plicht om een persoon helemaal uit de bestanden te schrappen als die daarom vraagt. De AVG heeft behoorlijk wat impact, maar tegelijk merken we bij DM Interface veel twijfel en aarzeling bij onze klanten. Daarom heb ik hier de 10 dingen op een rij gezet die je dit jaar toch echt moet weten over de AVG.

1. Je hebt straks verantwoordingsplicht
Je weet vast hoe je voor je ISO 9001-certificering moet kunnen laten zien hoe je kwaliteitssystemen in elkaar steken. Voor de AVG geldt straks feitelijk hetzelfde, maar dan op privacygebied. Je hebt straks namelijk verantwoordingsplicht: je moet kunnen aantonen dat je de juiste organisatorische en technisch maatregelen hebt genomen om de privacy van je klanten te beschermen.

2. Je hebt extra plichten als je aan grootschalige gegevensverwerking doet
Ben je arts of advocaat, dan doe je in eentje niet aan grootschalige gegevensverwerking. Wel als je een bank of telecommaatschappij bent. Of een verzekeraar of zoekmachine. Of een marktonderzoeker of ziekenhuis. In ieder geval moet het grootschalig verzamelen van persoonsgegevens een kernactiviteit zijn. Dat type organisaties kan worden verplicht om een zogenaamd data protection impact assessment uit te voeren. Ook kun je worden verplicht om een speciale privacyfunctionaris aan te stellen.

3. Je krijgt ook meer eigen verantwoordelijkheid
Je hoeft niet meer alle verwerkingen van persoonsgegevens apart te melden bij de Autoriteit Persoonsgegevens. Dat betekent dat je meer eigen verantwoordelijkheid hebt in het naleven van de regels.

4. De AVG beboet zwaar
Overtreed je de regels tóch? Bijvoorbeeld omdat je je privacymaatregelen onvoldoende kunt documenteren? Dan kan de Autoriteit Persoonsgegevens boetes tot 10 miljoen euro opleggen. Of een boete van 2% van de wereldwijde jaaromzet, als dat bedrag hoger is. Als je inhoudelijk over de schreef gaat – door de privacybeginselen uit de AVG met voeten te treden – dan kunnen de boetes zelfs oplopen tot 20 miljoen of 4% van de wereldwijde jaaromzet.

5. Meer recht op ‘vergetelheid’
In de bestaande Wet bescherming persoonsgegevens (Wbp) bestond al het recht op correctie en verwijdering. Maar dat recht gold alleen als de gegevens onjuist, onvolledig of onnodig waren. In de AVG is dat uitgebreid naar het recht op vergetelheid. Het geldt bijvoorbeeld ook als iemand zijn eerdere toestemming intrekt, ook al zijn de gegevens op zichzelf juist. Daarnaast is er bezwaar mogelijk, een absoluut recht van bezwaar tegen direct marketing zelfs. Ook bij onrechtmatige verwerking en het vastleggen van gegevens van kinderen onder de 16 jaar geldt het recht op vergetelheid. Wel zijn er diverse uitzonderingen: iemand mag bijvoorbeeld niet om verwijdering vragen om daarmee criminele sporen uit te wissen.

6. Een contract met externe verwerker
Huur je een ander bedrijf in om de gegevensverwerking voor je te doen? Dan moet je de dienstverlening van deze verwerker vastleggen in een schriftelijke overeenkomst. De verwerker mag alleen doen waar jij ‘m schriftelijk opdracht toe hebt gegeven. Iedereen die bij de verwerker werkt, heeft geheimhoudingsplicht. Ook mag de verwerker geen onderaannemers inhuren zonder jouw toestemming. En uiteraard heeft de verwerker de nodige organisatorische en technische maatregelen genomen om aan de AVG te voldoen – dezelfde waaraan jij moet voldoen als je de gegevensverwerking voor eigen rekening neemt. Beëindig je de samenwerking met de verwerker? Dan moet die alle gegevens verwijderen of aan jou terugbezorgen.

7. Veel blijft hetzelfde
De AVG verandert veel, maar er blijft ook van alles hetzelfde. Je bent nog steeds verplicht om bij te houden wie toegang heeft (gehad) tot de persoonsgegevens die jouw organisatie verwerkt. Ook ben je nog steeds verplicht om aan een betrokkene te vertellen wie er allemaal toegang hebben gehad. En ben je een zorgverlener? De NEN7510-norm blijft nog steeds een belangrijke norm voor informatiebeveiliging in de zorg – al is certificering volgens de AVG niet verplicht. Daarnaast blijven de bewaartermijnen onveranderd. Wel moet je ze nu vastleggen, vanwege die eerdergenoemde documentatieplicht.

8. De AVG helpt ook
In de AVG zijn allerlei modelbepalingen geïntegreerd die vertellen hoe je je persoonsgegevens correct moet verwerken of doorgeven. Zo weet je vooraf waar je aan toe bent.

9. De AVG levert ook wat op
De AVG is een Europese verordening (in het Engels heet hij General Data Protection Regulation) en dat betekent dat de regels voor alle bedrijven in de EU hetzelfde zijn. Zo ontstaat er dus een gelijk speelveld. Omdat je niet elke keer hoeft aan te melden, heb je minder administratie- en nalevingskosten. Bovendien heb je alleen nog maar te maken met de Autoriteit Persoonsgegevens en niet met andere toezichthoudende instanties.

10. Dit is de wettekst en dit adviseert de AP
De wet zelf heeft uiteindelijk het laatste woord, dus het is altijd nuttig om die goed door te lezen. De Autoriteit Persoonsgegevens heeft bovendien een tienstappenplan opgesteld.

Natuurlijk zijn die stappen makkelijker gezegd dan gedaan. En daarom geven we bij DM Interface graag advies en praktijkondersteuning. Want het is sneller 25 mei 2018 dan je denkt.


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *