AVG

Algemene verordening gegevensbescherming

Wat is de AVG?

Sinds 25 mei 2018 hebben alle bedrijven en organisaties binnen de EER (de Europese Economische Ruimte) met de AVG (Algemene verordening gegevensbescherming) te maken. Deze verordening zorgt ervoor dat persoonsgegevens op een wettige, eerlijke en transparante manier worden verwerkt.

De AVG is geldig in de hele EER en vervangt sinds 2018 in Nederland de voormalige Wet bescherming persoonsgegevens (Wbp).

Vergeleken met de Wbp heeft de AVG gezorgd voor een versterking en uitbreiding van de privacyrechten. Zo hebben organisaties meer verantwoordelijkheden gekregen en hebben alle Europese privacytoezichthouders nu dezelfde stevige bevoegdheden. Een goed voorbeeld hiervan is het recht om boetes op te leggen.

Voor wie geldt de AVG?

In de praktijk valt vrijwel iedere Nederlandse organisatie onder de AVG, op enkele branches na die niet met persoonsgegevens te maken hebben.

Twijfelt u of uw branche met de AVG te maken heeft? Neem dan gerust contact met ons op. Wij zoeken dit graag voor u uit.

AVG security

De AVG

Wat betekent deze wet voor u?

In de onderstaande twee opsommingen leest u welke verplichtingen de AVG u oplegt en hoe ComplyNow u kan helpen hieraan te voldoen.

De AVG

Wat zijn uw verplichtingen?

Het onderstaande overzicht bevat uw AVG-gerelateerde verplichtingen. Klik op de stappen voor verdere uitleg. Onder dit schema vindt u een tweede schema, waarin al onze oplossingen worden uitgewerkt.

1. Bewijsplicht richting toezichthouder

Wanneer uw onderneming te maken krijgt met persoonsgegevens, moet u kunnen bewijzen dat u aan de AVG voldoet. U dient dus niet alleen aan alle verplichtingen van de wet te voldoen, maar u moet dit ook kunnen aantonen als de toezichthouder hier om vraagt.

2. Toestemming gebruik persoonsgegevens

Bij het gebruik van persoonsgegevens moet u precies weten in welke gevallen toestemming van uw cliënt of relatie nodig is en aan welke regels en grondslag deze toestemming is gebonden. U zult dus maatregelen moeten treffen om dit in de praktijk te brengen.

3. Informatieplicht richting cliënten en relaties (privacyverklaring)

Al uw cliënten en relaties moeten worden geïnformeerd over de persoonsgegevens die binnen uw bedrijf of organisatie worden gebruikt. Dit gebeurt vaak in de vorm van een privacyverklaring.

4. Verwerkersovereenkomsten afsluiten

Met partijen die persoonsgegevens voor u verwerken, moet u een verwerkersovereenkomst afsluiten. Verwerkers zijn bijvoorbeeld (vaste) samenwerkingspartners en leveranciers, maar ook boekhouders en softwareleveranciers. Een verwerkersovereenkomst bevat afspraken over aspecten zoals beveiligingsmaatregelen, datalekken en rechten van betrokkenen.

5. Het bijhouden van het register van verwerkingen

In het register van verwerkingen moet u onder meer registreren hoe uw kantoor persoonsgegevens verwerkt, welke wettelijk toegestane grond uw kantoor daarvoor heeft en welke bewaartermijnen er gelden.

6. Beveiliging van persoonsgegevens

Binnen iedere onderneming die onder de AVG valt, moeten passende beveiligingsmaatregelen zijn getroffen voor het verwerken van persoonsgegevens. Dit is ook commercieel belangrijk. Heeft u uw maatregelen namelijk niet goed op orde, dan bent u zelf verantwoordelijk voor eventuele schade die als gevolg hiervan ontstaat.

7. Handelen bij datalekken

Wanneer u onder de AVG valt, bent u verplicht om eventuele datalekken (bijvoorbeeld e-mails naar de verkeerde persoon) te registreren. Daarnaast moeten ernstige datalekken worden gemeld bij de Autoriteit Persoonsgegevens.

8. Data Protection Impact Analyse (DPIA) en de Functionaris Gegevensbescherming (FG)

In sommige situaties zijn organisaties verplicht om een Data Protection Impact Analyse (DPIA) op te stellen. Hiermee doen ze vooraf onderzoek naar de impact van een bepaalde verwerking op de privacy van de betrokkenen. Ook zijn sommige organisaties, bijvoorbeeld in de zorg, verplicht een Functionaris Gegevensbescherming in dienst te nemen.

De AVG

Hoe helpt ComplyNow u?

In het onderstaande schema leggen we uit met welke diensten we u kunnen helpen aan de AVG te voldoen.

1. AVG Implementatie

Tijdens een AVG-implementatie helpen wij u bij alle administratieve verplichtingen die de AVG u oplegt.

Denk hierbij aan onder meer:

  1. Bewijsplicht richting toezichthouder
  2. Toestemming gebruik persoonsgegevens
  3. Informatieplicht richting cliënten en relaties
  4. Verwerkersovereenkomsten afsluiten
  5. Het bijhouden van het register van verwerkingen
  6. Beveiliging van persoonsgegevens
  7. Handelen bij datalekken

Het traject start met een training, die is inbegrepen bij de implementatie. Deze training behandelt alle AVG-verplichtingen in detail. De implementatie wordt meestal in twee bezoeken afgerond, waarna overdracht plaatsvindt in een handige tool.

Interesse? Neem dan snel contact met ons op zodat we u op weg kunnen helpen.

2. Losse AVG training

Voor bedrijven en organisaties die de AVG en alle bijbehorende verplichtingen graag beter willen leren kennen, bieden wij een drie uur durende training aan.

Deze interactieve training geeft u informatie over de volgende verplichtingen:

  1. Bewijsplicht richting toezichthouder
  2. Toestemming gebruik persoonsgegevens
  3. Informatieplicht richting cliënten en relaties
  4. Verwerkersovereenkomsten afsluiten
  5. Het bijhouden van het register van verwerkingen
  6. Beveiliging van persoonsgegevens
  7. Handelen bij datalekken

Interesse? Klik hier voor meer informatie of neem contact met ons op bij vragen.

3. Consultancy

Wij bieden diverse AVG-gerelateerde consultancy-diensten:

De Compliance Officer
De Compliance Officer is een vaste contactpersoon op het gebied van de Wwft en de AVG, die gedurende het hele jaar klaar staat om u en uw kantoor te begeleiden bij de naleving van deze wetten. U kunt uw eigen Compliance Officer inhuren vanaf acht uur per jaar. Uiteraard mogen deze acht uur in delen worden gebruikt.

De Compliance Consultant
Als u kiest voor de Compliance Consultant krijgt u voor uw individuele vraagstukken een beschikbare Compliance Officer toegewezen. Deze Compliance Officer is expert op het gebied van zowel de Wwft als de AVG.

U kunt een Compliance Consultant inhuren vanaf drie uur per jaar. Uiteraard mogen deze drie uur in delen worden gebruikt.

Data Protection Impact Analyse en externe Functionaris Gegevensbescherming
Als laatste helpen onze AVG-experts u indien gewenst bij het opstellen van een Data Protection Impact Analyse (DPIA) en kunnen zij fungeren als externe Functionaris Gegevensbescherming (FG).

Interesse? Bekijk dan snel onze Consultancy-pagina voor meer informatie of neem contact met ons op voor vragen of om een afspraak te maken. 

4. Audit AVG

Wilt u eenmalig of periodiek laten controleren of u niets over het hoofd heeft gezien? Dan is het aan te raden om een audit AVG uit te laten voeren.

Tijdens een audit onderzoekt AuditNow of een organisatie aan alle AVG-gerelateerde verplichtingen voldoet.

Interesse? Onze partner AuditNow helpt u graag verder.

Wat zijn de risico’s als u de AVG niet correct implementeert?

Onderzoek en boetes

De Autoriteit Persoonsgegevens kan onderzoek doen, boetes opleggen en overtredingen publiceren.

Maximale boete

De boete kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

Reputatieverlies

Reputatieverlies bij publicatie van een overtreding.

Veelgestelde vragen (FAQ):

Wat zijn persoonsgegevens?

De AVG ziet alle informatie over een (geïdentificeerde of identificeerbare) natuurlijk persoon als persoonsgegevens. Deze informatie moet direct over een persoon gaan (bijvoorbeeld een naam of geboortedatum) of aan een persoon te herleiden zijn (bijvoorbeeld een IP-adres). 

Wat zijn datalekken?

De AVG definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Welke soorten persoonsgegevens bestaan er?

In de AVG wordt onderscheid gemaakt tussen diverse categorieën persoonsgegevens. Elke categorie heeft zijn eigen regels rondom opslag en verwerking. Enkele voorbeelden van typen persoonsgegevens zijn: 

  • Gewone persoonsgegevens
    Deze liggen over het algemeen het minst gevoelig. Vaak zijn gewone persoonsgegevens zelfs gemakkelijk online of in bijvoorbeeld het telefoonboek te vinden. Voorbeelden van gewone persoonsgegevens zijn naam, adres, woonplaats, postcode en telefoonnummer.
  • Bijzondere persoonsgegevens
    Bijzondere persoonsgegevens hebben een persoonlijker aard dan gewone persoonsgegevens. Voorbeelden hiervan zijn gegevens over iemands gezondheid, gegevens waaruit een etnische afkomst blijkt of genetische gegevens.
    Bijzondere persoonsgegevens worden door de AVG extra goed beschermd. Deze gegevens mogen in principe dan ook niet verwerkt worden, tenzij hier een wettelijke uitzondering voor geldt.

Overige categorieën persoonsgegevens zijn strafrechtelijke gegevens, nationale identificatienummers en gevoelige gegevens.

Wat is het doel van de AVG?

Het doel van de Algemene verordening gegevensbescherming (AVG) is het beschermen van Europese burgers op het gebied van privacyregelgeving en persoonsgegevens.

Meer weten? Bekijk de Introductie AVG op de website van de Autoriteit Persoonsgegevens.

Valt mijn instelling onder de AVG?

Hoogstwaarschijnlijk wel. Bijna alle bedrijven en organisaties vallen onder de AVG, op enkele uitzonderingen na. De kans is daarom zeer groot dat ook uw instelling met de AVG te maken heeft. 

Twijfelt u? Neem dan gerust contact met ons op voor verdere uitleg.

Wat gebeurt er als mijn instelling niet aan de AVG voldoet?

De Autoriteit Persoonsgegevens (AP) mag sancties opleggen wanneer een bedrijf of organisatie de AVG overtreedt. Enkele voorbeelden van deze sancties zijn de boete, last onder dwangsom, verwerkingsverbod, berisping en een waarschuwing.

Meer weten? Op deze pagina van de Autoriteit Persoonsgegevens vindt u alles over AVG-gerelateerde boetes en andere sancties.