Beginselen van de Algemene Verordening Gegevensbescherming AVG
Beginselen van de Algemene Verordening Gegevensbescherming AVG
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De Engelse benaming voor AVG betreft General Data Protection Regulation (GDPR). Door het intreden van de verordening is vanaf dat moment in de hele Europe Unie (EU) dezelfde privacywetgeving van toepassing. De Wet Bescherming Persoonsgegevens (Wbp) geldt niet langer.
De belangrijkste verbeteringen met de komst van AVG zijn.
- De privacy rechten worden uitgebreid.
- Een organisatie krijgt meer verantwoordelijkheden.
- Verbeteren van het toezicht en maatregelen zoals boetes.
Beginselen van de Algemene Verordening Gegevensbescherming AVG
Een belangrijk element van de AVG is dat organisaties meer verantwoordelijkheden krijgen. Een organisatie moet passende maatregelen nemen om de persoonsgegevens te beschermen.
Kennis AVG
Een organisatie moet voldoende kennis hebben over AVG en passende maatregelen treffen die bij de situatie van de organisatie horen. Als er niet wordt voldaan aan de wetgeving kan er een boete opgelegd worden van 4% de omzet van de wereldwijde omzet van een organisatie met een maximum van 20 miljoen euro.
Verplicht Data Protection Impact Assessement (DPIA)
Het is voor organisaties verplicht gesteld om een data protection impact assessement (DPIA) uit te voeren. Dit betekent dat een organisatie de risico’s in kaart moet brengen ten aanzien van de persoonsgegevens en waar er mogelijk gegevens kunnen lekken. Vervolgens moeten er maatregelen genomen worden om de risico’s te verkleinen.
Functionaris voor de gegevensbescherming (FG)
Voor overheidsinstellingen publieke instellingen zoals de Rijksoverheid, gemeenten, provincies is het aanstellen van een functionaris voor de gegevensbescherming (FG) verplicht. Deze verplichting is dus ook van toepassing op organisatie zoals zorg- en onderwijsinstellingen.
Organisaties die op grote schaal vanuit hun corebusiness mensen volgen of activiteiten van mensen in kaart brengen moeten ook verplicht een FG aanstellen. Voorbeelden zijn organisatie die cameratoezicht aanbieden of een ander voorbeeld is een organisatie die mensen profilen. Voor dergelijke organisatie is niet alleen de FG verplicht maar ook de DPIA.
Meldplicht datalekken
Het is verplicht om datalekken te documenteren en te melden. De autoriteit persoonsgegevens (AP) moet de melding kunnen controleren. De meldplicht datalekker is onder AVG strikter dan voorheen onder de Wbp.
Voorbeelden van datalekken zijn:
- Ransomware waardoor gegevens worden geblokkeerd of versleuteld, waardoor alleen tegen betaling de gegevens weer vrijgegeven worden.
- Verlies van bedrijfstelefoons of laptop, waarop privacygevoelige informatie staat.
- Hacking van systemen.
- Verlies van papieren met privacygevoelige informatie.
Outsourcing en AVG
Indien een organisatie bepaalde processen outsourcet is het van belang om een risico-analyse uit voeren. Stel vast welke risico’s er gelopen worden in het proces dat uitbesteed gaat worden en vervolgens of de overnemende partij voldoende maatregelen heeft getroffen om de risico’s te verkleinen. Leg de afspraken van in een service level agreement (SLA), zodat de verantwoordelijkheden tussen de organisatie duidelijk zijn. Stel ook continue vast dat de gemaakte afspraken worden nageleefd en dat de gegevens voldoende beschermd zijn.
Toestemming gebruik persoonsgegevens
Een organisatie moet verplicht toestemming vragen om bepaalde persoonsgegevens te gebruiken en te verwerken. Zo zijn er striktere voorwaarden voor het gebruik van de Burgerservicenummers (BSN). Ook is het gebruik van gegevens voor bezoekers van een website beperkter en dient er toestemming gevraagd te worden middels de zogenaamde cookies.
Er zijn de nodige maatregelen die getroffen dienen te worden binnen organisaties. Raadpleeg de informatie op de AP of schakel een deskundige in, zodat voldaan wordt aan de Algemene Verordening Gegevensbescherming (AVG).
