Ga naar OnlyHuman home

Ben jij klaar voor de AVG?

Blog

Vanaf 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de nu geldende Wet bescherming persoonsgegevens (Wbp). Weet jij wat de gevolgen zijn voor jouw organisatie? Wij hebben een aantal zaken voor je op een rij gezet.

 

 

Wat houdt de AVG concreet in voor jouw organisatie?

 

Verplicht om doeleinden vast te stellen

Het doel waarvoor je persoonsgegevens (alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon) wil verzamelen dient van tevoren te worden bepaald en duidelijk kenbaar te worden gemaakt aan betrokkenen. Wanneer je persoonsgegevens voor een bepaald doeleinde hebt verzameld dan mag je deze persoonsgegevens niet voor een ander doeleinde gebruiken*.

 

Voorbeeld: stel dat je persoonsgegevens hebt verzameld voor een nieuwsbrief om betrokkenen op de hoogte te houden van nieuws op het gebied van social media dan mag je deze betrokkenen niet zomaar benaderen voor een winactie.

 

Verwerking persoonsgegevens binnen de eisen van de AVG

Je dient ervoor zorg te dragen dat persoonsgegevens op een veilige en overzichtelijke manier worden opgeslagen. Betrokkenen hebben namelijk het recht om te allen tijde hun gegevens in te zien, aan te passen of te verwijderen. Ook dien je aan te geven hoe lang gegevens worden bewaard. Belangrijk is dat binnen de organisatie duidelijkheid bestaat over hoe en waar persoonsgegevens worden opgeslagen en wie daartoe toegang heeft.

 

Werken met derden

Als je andere partijen inschakelt om persoonsgegevens te verwerken, moet je met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met een verwerkersovereenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.*

 

Waar dien je als organisatie aan te voldoen?

Als organisatie moeten aantoonbare maatregelen worden genomen om informatie van persoonsgegevens te beveiligen. Er dienen interne procedures te worden vastgesteld met betrekking tot het opslaan en verwerken van persoonsgegevens. Tevens dient er een privacyverklaring te worden opgesteld en gepubliceerd. Ook dient er een actieplan voorhanden te zijn in geval van datalekken. Bedrijven met meer dan 250 medewerkers die met gevoelige informatie werken, zijn verplicht om een Chief Privacy Officer (CPO) toe te wijzen*.

 

Datalekken

Bij datalekken van persoonsgegevens geldt een meldplicht bij de autoriteit Persoonsgegevens. In sommige gevallen kan het zijn dat de betrokkene zelf ook van het lek op de hoogte dient te worden gebracht. Wanneer de gegevensbeschermingsregels worden overtreden staan hier strenge sancties op. De boete kan oplopen tot wel 20 miljoen euro of 4% van de jaaromzet*.

 

Wil jij meer lezen over de AVG? Lees dan onderstaande blogs. Eén daarvan is geschreven naar aanleiding van onze kennissessie gehouden op 15 maart.

 

 

 


(*bron: autoriteit Persoonsgegevens)