De Europese Privacywet, welke invloed heeft dat op uw organisatie?

Vanaf 25 mei 2018 zal in heel Europa de nieuwe Algemene Verordening Gegevensbescherming (AVG) in werking treden. Nieuwe regelgeving voor alle EU lidstaten voor het gebruik en verwerking van persoonsgegevens. Dit heeft tot gevolg dat de bezitter van persoonlijke gegevens meer verantwoordelijkheid en verplichtingen krijgt dan tot nu toe het geval.

Wat is AVG?
Door de Algemene Verordening Gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om te bepalen wat er met hun persoonsgegevens gebeurt en waar deze worden opgeslagen. Hun privacy rechten worden hierdoor uitgebreid en versterkt. Zo moet er toestemming zijn gegeven om de persoonsgegevens van mensen te verwerken. Onder verwerken valt ook het opslaan van persoonsgegevens in een database. Organisaties moeten kunnen aantonen dat er toestemming is verkregen. Bovendien kunnen mensen hun toestemming intrekken. In dat geval is er sprake van recht op vergetelheid. Mensen hebben het recht om aan een organisatie te vragen om hun persoonsgegevens te verwijderen. Het gaat zelfs nog verder doordat mensen kunnen eisen dat de gegevens die doorgegeven zijn aan een andere organisatie, ook verwijderd moeten worden. Er komt ook een mogelijkheid om persoonsgegevens op te vragen bij een organisatie. In dat geval is een organisatie verplicht om alle gegevens rondom die persoon in een standaardformaat af te geven.

Welke invloed op u?
Deze AVG is van toepassing op iedere organisatie, MKB of ZZP’er die persoonsgegevens verwerkt. Dit kan een klantenbestand of een werknemersdossier zijn, maar ook bijvoorbeeld een patiënten dossier. Hierdoor is deze AVG op vrijwel iedereen van toepassing tegenwoordig en vraagt daarom de nodige aandacht. Wanneer er niet wordt voldaan aan deze AVG per 25 mei 2018 dan kunnen er sancties worden opgelegd van maximaal 20 miljoen euro of 4% van de totale omzet.
Dit is een behoorlijke aanslag voor de meeste ondernemers dus is het noodzakelijk dat er voor die tijd kan worden voldaan aan alle regels.

Wat moet u hiervoor doen?

  • Allereerst vraagt de AVG een toestemming van de betrokkenen (de mensen van wie u persoonsgegevens verwerkt). Dit wil zeggen dat de organisatie moet kunnen aantonen dat mensen toestemming hebben gegeven voor de verwerking van hun gegevens. Hiervoor is geen bestaand format aangereikt, dus zal de organisatie zelf moeten bepalen hoe dat wordt vormgegeven.
  • Behalve toestemming hebben mensen ook het recht op inzage en verwijdering. Daarom moet de organisatie de mogelijkheid hebben om de persoonsgegevens aan te leveren en te kunnen verwijderen. Vaak zijn huidige manieren om dit te bewerkstelligen erg arbeidsintensief.
  • Er is ook een verantwoordingsplicht van toepassing met de AVG. Dit wil zeggen dat je moet kunnen aantonen dat de verwerking van persoonsgegevens doelbindend is. Met andere woorden, het verwerken van de gegevens moet kunnen bijdragen aan de organisatie. Als voorbeeld: Voor een aannemer is het niet relevant om te weten of zijn klant regelmatig online kleding besteld.
  • Daarnaast moet de organisatie kunnen aantonen dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. Dit kan zowel ‘offline’ als op ICT gebied maatregelen vragen.

Sommige organisatie zijn verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is alleen noodzakelijk als de organisatie zich bezighoudt met profiling, op grote schaal bijzondere persoonsgegevens verwerkt of op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Deze organisaties zijn samen met overheden en publieke organisaties verplicht om ook een Functionaris voor Gegevensbescherming (FG) aan te stellen. Wat kan APB bieden? Al deze regelgeving eist van u om het hele proces waarmee persoonsgegevens in uw organisatie worden verwerkt in kaart te brengen. Om te voorkomen dat er geen tijd over blijft voor uw corebusiness, kunnen we helpen het proces inzichtelijker te maken. Tegelijkertijd bieden we hulp wanneer er een proces rondom de verwerking van persoonsgegevens moet worden veranderd. Voor meer informatie of vragen zijn wij te bereiken op 076-3030793 of info@apb.nl