Belangrijkste onderdelen AVG (Algemene Verordening Gegevensbescherming)

Gepubliceerd op 28/03/2018

Nog even en dan is het zover. Op 25 mei a.s. treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. In elk land van de Europese Unie geldt dan dezelfde privacywetgeving. Bedrijven en organisaties krijgen te maken met meer verantwoordelijkheden en bij schending van privacyrechten kunnen aanzienlijke boetes worden opgelegd.

De belangrijkste onderdelen van de AVG voor u op een rij.

  1. Passende maatregelen nemen
    Iedere onderneming (‘verantwoordelijke’ genoemd) dient passende technische en organisatorische maatregelen te nemen om persoonsgegevens van werknemers of klanten te beschermen, op een voor die onderneming geldend niveau. Bij een incident dient de onderneming de beschikbaarheid van en toegang tot persoonsgegevens te herstellen. Ook moet er een procedure komen die de genoemde maatregelen test, beoordeelt en evalueert.
  2. Toestemming betrokkene verkrijgen
    De betrokkene moet duidelijk en actief aangeven dat zijn persoonsgegevens mogen worden gebruikt. De AVG spreekt hierbij over vrijelijke, specifieke, geïnformeerde en ondubbelzinnige instemming. De betrokkene kan deze toestemming ook weer intrekken. Verder heeft hij recht op uitgebreide informatie over de verwerking van zijn persoonsgegevens, recht op inzage en correctie van zijn persoonsgegevens, het recht van bezwaar en het recht dat zijn persoonsgegevens worden gewist.
  3. Verplicht melden datalek
    Er is sprake van een datalek wanneer persoonsgegevens in handen vallen van iemand die deze niet zou mogen hebben. Denk aan een verloren, gestolen of gehackte laptop. Een ernstige datalek dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens.
  4. Aanstellen Functionaris Gegevensbescherming (FG)
    Overheden en ondernemingen die specifieke persoonsverwerking op grote schaal verwerken dienen een onafhankelijke (interne of externe) FG aan te stellen. De FG houdt toezicht op de verwerking van persoonsgegevens.
  5. Let op bij grensoverschrijdende gegevensverwerkingen
    Wanneer een bedrijf meerdere vestigingen in bijvoorbeeld de Europese Unie heeft, is sprake van een grensoverschrijdende situatie. In dat geval dient een leidende toezichthouder te worden aangesteld, die hoofdverantwoordelijk is voor het toezicht op grensoverschrijdende gegevensverwerkingen.
  6. Register van verwerkingen bijhouden
    Iedere onderneming en verwerker met 250 werknemers of meer dient een register bij te houden van verwerkingsactiviteiten.
  7. Gevolgen niet naleving AVG
    De Autoriteit Persoonsgegevens kan zeer aanzienlijke boetes tot maximaal 20 miljoen euro (afhankelijk van de overtreding) opleggen bij niet naleving van de AVG.

Want to know more? Get in touch.