De Kantoormanager 2.0
Neem contact met ons op!
0527 68 08 79

De wet AVG

Ben jij al up to date?

Vanaf 25 mei 2018 is de wet AVG ingegaan.

Ben je daarmee bezig geweest? 

Een aantal belangrijke zaken om rekening mee te houden.

Verantwoordingsplicht

Je moet kunnen aantonen dat jouw organisatie in overeenstemming handelt met de AVG. Je hebt dus verantwoordingsplicht. In jouw beleid staat daarom gedocumenteerd welke persoonsgegevens je verwerkt, waarom je dit doet, hoe je aan de gegevens komt en met wie ze worden gedeeld. In bijzondere gevallen en bij bedrijven met meer dan 250 werknemers moet dit worden geregistreerd in een ‘register van verwerkingsactiviteiten’. 

DPIA

De ‘Data Protection Impact Assessment’ is een instrument om vooraf privacy risico’s van gegevensverwerking in kaart te brengen en is alleen verplicht als de gegevensverwerking een hoog privacy-risico oplevert voor de betrokkenen. Bijvoorbeeld wanneer je op grote schaal bijzondere persoonsgegevens (bijv. ras, religie etc) verwerkt of wanneer je (bijvoorbeeld met cameratoezicht) systematisch en op grote schaal mensen volgt in een publiek toegankelijk gebied. De Autoriteit Persoonsgegevens is bezig om een lijst van verwerkingen op te stellen waarvoor een DPIA verplicht is. Houdt hiervoor de website in de gaten.

Meldplicht datalekken

Deze was er ook al onder de Wbp, maar er worden nu strengere eisen gesteld aan de registratie van datalekken. Een organisatie moet over een ‘datalekregister’ beschikken, waarin alle datalekken worden gedocumenteerd. Hierin wordt opgenomen wat er is gebeurd, wat de gevolgen zijn en welke maatregelen je hebt genomen om het datalek te stoppen. Daarnaast is het belangrijk om binnen 72 uur na ontdekken van het datalek een melding te doen bij de Autoriteit Persoonsgegevens.  

Verwerkersovereenkomst

Wanneer je gebruik maakt van de diensten van een verwerker (bijv. een externe partij die jouw inkomende telefoongesprekken beantwoord) dan moeten er een aantal onderwerpen in een verwerkersovereenkomst worden vastgelegd:

- Een algemene beschrijving van de verwerking;
- Instructies voor de verwerking;
- Geheimhoudingsplicht;
- Beschrijving van de beveiligingsmaatregelen;
- Inschakelen van sub-verwerkers (derden);
- Privacy-rechten van betrokkenen (zoals recht op inzage, wijziging e.d.);
- Nakomen van andere verplichtingen (zoals melding datalekken, DPIA);
- Verwijderen van gegevens na beëindiging van de diensten;
- Medewerking aan audits verlenen.

Toestemming

Nieuw in de wet AVG is dat je moet kunnen aantonen dat je geldige toestemming hebt gekregen van mensen voor het verwerken van hun persoonsgegevens. Deze toestemming moet dus ergens geregistreerd zijn. Daarnaast moet het intrekken van hun toestemming net zo makkelijk worden gemaakt als het geven van toestemming. 

 

Zoals je kunt lezen is één van de hoofdbegrippen van de wet AVG ‘registreren’. Niet alle regels zullen op elk bedrijf van toepassing zijn. Daarom is goed onderzoek doen belangrijk bij het opstellen van jouw AVG beleid. Op de website van Autoriteit Persoonsgegevens staat nog veel meer uitgebreide informatie over de wet AVG.