AVG

Algemene verordening gegevensbescherming

Wat is de AVG?

Sinds 25 mei 2018 hebben alle bedrijven en organisaties binnen de EER (de Europese Economische Ruimte) met de AVG (Algemene verordening gegevensbescherming) te maken. Deze verordening zorgt ervoor dat persoonsgegevens op een wettige, eerlijke en transparante manier worden verwerkt.

De AVG is van toepassing in de hele EER en vervangt sinds 2018 in Nederland de voormalige Wet bescherming persoonsgegevens (Wbp).

Vergeleken met de Wbp heeft de AVG gezorgd voor een versterking en uitbreiding van de privacyrechten. Zo hebben organisaties meer verantwoordelijkheden gekregen en alle Europese privacytoezichthouders dezelfde stevige bevoegdheden. Een goed voorbeeld hiervan is de mogelijkheid om boetes op te leggen.

 

Wat zijn persoonsgegevens?

De AVG ziet alle informatie over een (geïdentificeerde of identificeerbare) natuurlijk persoon als persoonsgegevens. Deze informatie moet direct over een persoon gaan (bijvoorbeeld een naam of geboortedatum) of aan een persoon te herleiden zijn (bijvoorbeeld een IP-adres). 

In de AVG wordt onderscheid gemaakt tussen diverse categorieën persoonsgegevens. Elke categorie heeft zijn eigen regels rondom de verwerking ervan. Enkele voorbeelden van typen persoonsgegevens zijn: 

  • Gewone persoonsgegevens
    Deze liggen over het algemeen het minst gevoelig. Vaak zijn gewone persoonsgegevens zelfs gemakkelijk online of in bijvoorbeeld het telefoonboek te vinden. Voorbeelden van gewone persoonsgegevens zijn naam, adres, woonplaats, postcode en telefoonnummer.
  • Bijzondere persoonsgegevens
    Bijzondere persoonsgegevens hebben een persoonlijker aard dan gewone persoonsgegevens. Voorbeelden hiervan zijn gegevens over iemands gezondheid, gegevens waaruit een etnische afkomst blijkt of genetische gegevens.
    Bijzondere persoonsgegevens worden door de AVG extra goed beschermd. Deze gegevens mogen in principe dan ook niet verwerkt worden, tenzij hier een wettelijke uitzondering voor geldt.

Overige categorieën persoonsgegevens zijn strafrechtelijke gegevens, nationale identificatienummers en gevoelige gegevens.

AVG

Voor wie geldt de AVG?

In de praktijk valt vrijwel iedere Nederlandse organisatie onder de AVG, op enkele uitzonderingen na die niet met persoonsgegevens te maken hebben.

Twijfelt u of uw branche met de AVG te maken heeft? Neem dan gerust contact met ons op. Wij zoeken dit graag voor u uit.

Wat zijn uw verplichtingen onder de AVG?

Wat de AVG precies voor u betekent, is onder meer afhankelijk van het soort persoonsgegevens dat u verwerkt. Echter, bijna alle Nederlandse instellingen hebben met enkele standaard verplichtingen te maken.

Het onderstaande overzicht laat de belangrijkste verplichtingen vanuit de AVG duidelijk zien, gevolgd door de oplossingen die ComplyNow hiervoor biedt:

 

Wat moet u doen?

Hoe kunnen wij u helpen?

Bewijsplicht

Wanneer uw onderneming gebruik maakt van persoonsgegevens, moet u kunnen bewijzen dat u aan de AVG voldoet. Daarvoor is beleid over datalekken nodig, moet personeel voldoende worden getraind en moet het register van verwerkingen worden ingericht en bijgehouden.

ComplyNow helpt klanten bij de correcte implementatie van de AVG. Tijdens het implementatieproces worden alle belangrijke aspecten van de AVG behandeld. Heeft u de implementatie doorlopen? Dan bewijst u gemakkelijk dat u aan al uw verplichtingen voldoet. Interesse? Neem dan snel contact met ons op zodat we u op weg kunnen helpen.

Het bijhouden van het register van verwerkingen

In het register van verwerkingen dient u onder meer bij te houden hoe uw bedrijf of organisatie persoonsgegevens verwerkt, welke wettelijk toegestane grondslag u daarvoor heeft en welke bewaartermijnen er gelden.

Tijdens een AVG implementatie wordt uitgebreid stilgestaan bij het correct opstellen en gebruiken van het register van verwerkingen. Interesse? Neem gerust contact met ons op, dan helpen wij u op weg.

Informeren

Alle personen waarvan u gegevens opslaat of gebruikt, moeten hierover worden geïnformeerd. Dit gebeurt vaak in de vorm van een privacyverklaring.

Ook de privacyverklaring komt aan bod tijdens de AVG implementatie. Heeft u hulp nodig? Neem gerust contact met ons op, dan helpen wij u verder.

Verwerkersovereenkomst

Met partijen die persoonsgegevens voor u verwerken, dient u een verwerkersovereenkomst af te sluiten. Verwerkers zijn bijvoorbeeld (vaste) samenwerkingspartners en leveranciers, maar ook boekhouders en softwareleveranciers. De verwerkersovereenkomst moet afspraken bevatten over aspecten zoals beveiligingsmaatregelen, datalekken en rechten van betrokkenen.

Tijdens de AVG implementatie biedt ComplyNow hulp bij het correct afsluiten van verwerkersovereenkomsten. Interesse? Neem gerust contact met ons op voor meer informatie.

Toestemming

Bij het gebruik van persoonsgegevens zult u precies moeten weten in welke gevallen toestemming nodig is en aan welke regels en grondslag deze toestemming gebonden is.

ComplyNow helpt klanten bij het naleven van de AVG. Tijdens deze de AVG implementatie komen diverse aspecten aan de orde, waaronder het correct verkrijgen van deze toestemming. Heeft u hulp nodig bij het implementeren van de AVG? Neem gerust contact met ons op, dan helpen wij u op weg.

Beveiliging van persoonsgegevens

Binnen iedere onderneming die onder de AVG valt, moeten passende beveiligingsmaatregelen zijn getroffen voor het verwerken van persoonsgegevens (ongeacht of deze op de computer staan, in de cloud of fysiek op het kantoor). Dit is ook commercieel belangrijk. Heeft u uw maatregelen namelijk niet goed op orde, dan bent u zelf verantwoordelijk voor eventuele schade die als gevolg hiervan ontstaat. Verzekeraars keren schade bij niet-naleving van de AVG bovendien lang niet altijd uit.

Tijdens de AVG implementatie geeft ComplyNow klanten uitgebreid advies over het treffen van de juiste beveiligingsmaatregelen. Heeft u vragen of interesse in een AVG implementatie binnen uw bedrijf? Neem gerust contact met ons op, dan helpen wij u op weg.

Datalekken

Wanneer u onder de AVG valt, bent u verplicht om eventuele datalekken (bijvoorbeeld e-mails naar de verkeerde persoon) te registreren. Daarnaast moeten ernstige datalekken worden gemeld bij de Autoriteit Persoonsgegevens. De AVG legt de verantwoordelijkheid voor het kennen en naleven van alle privacyregels bij de onderneming. Wanneer de Autoriteit Persoonsgegevens hierom vraagt, moet u op ieder moment kunnen aantonen dat u de regels van de AVG kent en correct naleeft.

Wilt u weten hoe u datalekken herkent en registreert? Hier gaan we tijdens zowel de AVG implementatie als de AVG training uitgebreid op in. Bekijk onze oplossingen voor al onze AVG-gerelateerde diensten of neem contact met ons op voor meer informatie.

Integriteit

Onder meer vanuit de AVG bent u verplicht om integer met gegevens om te gaan. Dit houdt in dat u deze goed beschermt en bijvoorbeeld uw beschermingsmaatregelen afstemt op de categorieën van persoonsgegevens.

Ook het beveiligen van gegevens komt in de AVG implementatie uitgebreid aan bod. Meer weten? Neem contact met ons op voor meer informatie.

Data Protection Impact Analyse (DPIA) en de Functionaris Gegevensbescherming (FG)

In sommige situaties dienen organisaties verplicht een DPIA op te stellen. Hiermee doen ze vooraf onderzoek naar de impact van een bepaalde verwerking op de privacy van de betrokkenen. Ook zijn sommige organisaties, bijvoorbeeld in de zorg, verplicht een Functionaris Gegevensbescherming in dienst te nemen.

ComplyNow adviseert en begeleidt u in het opstellen van een Data Protection Impact Analyse (DPIA). Ook kunnen wij als externe Functionaris Gegevensbescherming (FG) fungeren voor onze klanten. Interesse? Neem gerust contact met ons op voor meer informatie.

AVG-audits

Twijfelt u of u volledig AVG-proof te werk gaat? Een audit kan u de zekerheid bieden waar u wellicht behoefte aan heeft.

Onze partners van AuditNow voeren graag een audit voor u uit. Na deze audit weet u precies hoe u ervoor staat en waar uw AVG-implementatie eventueel nog voor verbetering vatbaar is. Interesse? Neem dan een kijkje op de website van AuditNow voor meer informatie.

Wat zijn de risico’s als u de AVG niet implementeert?

Onderzoek en boetes

De Autoriteit Persoonsgegevens kan onderzoek doen, boetes opleggen en overtredingen publiceren.

Maximale boete

De boete kan maximaal oplopen tot 20 miljoen euro of tot 4% van de jaarlijkse wereldwijde omzet.

Reputatieverlies

Reputatieverlies bij publicatie van een overtreding.

Veelgestelde vragen (FAQ):

Wat is het doel van de AVG?

Het doel van de Algemene verordening gegevensbescherming (AVG) is het beschermen van Europese burgers op het gebied van privacyregelgeving en persoonsgegevens.

Meer weten? Bekijk de Introductie AVG op de website van de Autoriteit Persoonsgegevens.

Valt mijn instelling onder de AVG?

Hoogstwaarschijnlijk wel. Bijna alle bedrijven en organisaties vallen onder de AVG, op enkele uitzonderingen na. 

Twijfelt u? Neem dan gerust contact met ons op voor verdere uitleg.

 

Wat gebeurt er als mijn instelling niet aan de AVG voldoet?

De Autoriteit Persoonsgegevens (AP) mag sancties opleggen wanneer een bedrijf of organisatie de AVG overtreedt. Enkele voorbeelden van deze sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.

Meer weten? Op deze pagina van de Autoriteit Persoonsgegevens vindt u alles over AVG-gerelateerde boetes en andere sancties.