Neem contact met ons op


  • Please prove you are human by selecting the Car.
 

De AVG komt eraan: wat zijn de 10 meest gestelde vragen?

De AVG komt eraan: wat zijn de 10 meest gestelde vragen?

Deze maand is het zover: de AVG treedt in werking. In eerdere blogs wezen wij u al op de komst van de AVG en hielpen wij u met een AVG-proof privacyverklaring en uw register verwerkingsactiviteiten. Ook wezen wij u op de 5 documenten die iedere organisatie onder de AVG nodig heeft. In dit blog behandelt Schravenmade Advocaten de 10 meest gestelde vragen over de AVG.

Wat is de AVG ook alweer en waarin verschilt de AVG van de Wbp?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR).

De AVG regelt de privacy van burgers en is strenger dan de Wbp: met de AVG krijgen burgers meer en stevigere privacyrechten. Organisaties krijgen vooral meer verplichtingen. Zo moeten organisaties voor bepaalde gegevensverwerkingen eerst uitdrukkelijk toestemming vragen aan de betrokkene. Daarnaast moeten organisaties kunnen aantonen dat zij zich aan de AVG houden.

Voor welke organisaties geldt de AVG?

Vrijwel alle organisaties verzamelen persoonsgegevens. Denkt u daarbij aan namen, adressen en telefoonnummers van klanten, bezoekers en/of medewerkers. En aan email- of IP-adressen (via cookies op de website). Bijna alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd. De AVG geldt dan ook voor vrijwel iedere organisatie.

Wat zijn persoonsgegevens?

De formulering van het begrip ‘persoonsgegevens’ onder de AVG is vrij ruim. Alle informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon, die direct of indirect (bijvoorbeeld door middel van combinatie met andere gegevens) kan leiden tot identificatie van een natuurlijk persoon is een persoonsgegeven. Denkt u daarbij niet alleen aan iemands naam, adres, BSN-nummer of e-mailadres, maar ook aan IP-adressen of kentekengegevens.

Een zakelijk e-mailadres is onder de AVG dus ook een persoonsgegeven, omdat dit adres in combinatie met andere gegevens te herleiden is tot een persoon. Ook het adres info@bedrijfsnaam.nl kan een persoonsgegeven zijn, bijvoorbeeld bij een eenmanszaak. In dat geval maakt namelijk alleen de eigenaar gebruik van dat adres, en is hij of zij dus in combinatie met andere gegevens te identificeren.

Sommige persoonsgegevens worden onder de AVG als bijzondere persoonsgegevens aangemerkt. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijken. Ook genetische gegevens en gegevens over gezondheid of seksueel gedrag én de persoonsgegevens van minderjarige kinderen zijn bijzondere persoonsgegevens.

Wanneer verwerkt mijn organisatie persoonsgegevens?

Het begrip ‘verwerking’ wordt in de AVG als volgt gedefinieerd:

“Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens.”

Van verwerking is dus al snel sprake. Bijzondere persoonsgegevens mogen onder de AVG in principe (zonder toestemming) niet worden verwerkt. De overige persoonsgegevens mag u alleen verwerken als daar een grondslag voor is. U mag bovendien alleen die gegevens verwerken die noodzakelijk zijn (dataminimalisatie)

Wat is een Functionaris Gegevensbescherming (FG)?

Onder de AVG zijn sommige organisaties verplicht om een zogenaamde Functionaris Gegevensbescherming (FG) aan te stellen. Een FG is op de hoogte van de AVG, verantwoordelijk voor naleving van de verplichtingen die daaruit voortvloeien en de contactpersoon voor uw organisatie voor betrokkenen en de toezichthouder. Een FG kan zowel een interne als een externe specialist zijn. Een FG is verplicht:

  • voor overheidsinstanties en publieke instanties;
  • als uw organisatie systematisch en grootschalig persoonsgegevens verzamelt;
  • als uw organisatie op grote schaal bijzondere persoonsgegevens verwerkt.

Ook als u niet verplicht bent een FG aan te stellen, adviseren wij u om één of meer medewerkers binnen uw organisatie verantwoordelijk te maken voor uw privacy compliance.

Wat is een Data Protection Impact Assessment (DPIA)?

Een DPIA is een toets om vooraf de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen. Een DPIA is verplicht als er een hoog privacyrisico is. Dat is in ieder geval zo als u:

  • systematisch en uitvoerig persoonlijke aspecten evalueert;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De Autoriteit Persoonsgegevens zal nog een lijst publiceren met verwerkingen waarvoor een DPIA verplicht is. Op dit moment is die lijst er nog niet. De Europese privacytoezichthouders hebben wel een lijst met 9 criteria opgesteld. Als uw gegevensverwerking aan 2 of meer van die criteria voldoet moet u een DPIA uitvoeren. De lijst met criteria vindt u hier.

Waar moet onze privacyverklaring aan voldoen?

In uw privacyverklaring legt u aan de betrokkene uit welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u ze beveiligt. De specifieke inhoud van uw privacyverklaring hangt af van welk type persoonsgegevens uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Wat iedere organisatie er in ieder geval in moet opnemen leest u hier.

Moeten wij een register verwerkingsactiviteiten hebben?

Organisaties hebben onder de AVG een verantwoordingsplicht. Dat betekent dat zij, als de Autoriteit Persoonsgegevens daarom vraagt, moeten kunnen aantonen dat zij aan de AVG voldoen. Vrijwel alle organisaties zijn daarbij verplicht om een register verwerkingsactiviteiten aan te leggen. Welke organisaties dat zijn en wat in het register moet staan leest u hier.

Wat doen we bij een datalek?

Onder de AVG bent u verplicht om bepaalde datalekken zo snel mogelijk (liefst binnen 72 uur) te melden aan de toezichthouder. Ook moet u onder omstandigheden de betrokkenen over een datalek informeren. U moet bovenden een register bijhouden van alle datalekken die zich bij u voordoen. Dit geldt ook voor datalekken die u niet hoeft te melden bij de toezichthouder.

Wij adviseren u daarom om een protocol datalekken op te stellen en in uw organisatie te implementeren. Daarnaast adviseren wij u om in uw verwerkersovereenkomsten goede afspraken te maken, voor het geval zich een datalek bij een verwerker voordoet.

Zijn de boetes echt zo hoog?

Ja, de boetes onder de AVG zijn vrij hoog. Houdt u zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Advies nodig?

Heeft u vragen over de AVG, of advies nodig over uw privacy compliance? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.



Onze tweewekelijkse update ontvangen?

Schrijf u nu in voor onze Ondernemers Update en ontvang iedere twee weken op donderdag onze nieuwsbrief met belangrijke wetswijzigingen, uitspraken en andere juridische updates. 

Gefeliciteerd! U bent succesvol toegevoegd aan de mailinglijst en zult nu tweewekelijks onze Ondernemers Update ontvangen.