Voldoen aan de AVG. Waar moet ik beginnen?

30 mei 2017

Hoewel het nog een jaar duurt, is er geen ontkomen meer aan: de nieuwe Europese privacyverordening gaat ook uw bedrijf raken én werk veroorzaken. De komende weken zoomen wij in op verschillende onderdelen van de Algemene Verordening Gegevensbescherming (AVG). Vandaag beginnen wij bij het begin.

AVG of GDPR?

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse benaming voor de General Data Protection Regulation (GDPR). Alle individuele lidstaten moeten werken met deze nieuwe EU-regulering. De GDPR gaat op 25 mei 2018 in en vervangt dan onze huidige Wet Bescherming Persoonsgegevens (Wbp).

Wat staat er in de AVG?

De AVG zorgt voor dezelfde regels omtrent bescherming van persoonsgegevens in heel Europa. Het maakt dan niet meer uit in welk EU-land de burger, wiens gegevens worden verwerkt, woont; het gaat om ‘betrokkenen die zich in de Unie bevinden’. Er zullen meer verplichtingen gaan gelden dan bij de Wbp en de Meldplicht Datalekken – waar u op dit moment aan moet voldoen.

Hier komt het op neer:

  1. U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit heeft.
  2. U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft.
  3. Wanneer u een product of dienst ontwikkelt, dan moet er ‘security by design’ worden toegepast. U moet dus direct nadenken over hoe u de beveiliging van gegevens waarborgt en inbouwt.
  4. U moet van elk aspect van de persoonsgegevens afzonderlijk kunnen aangeven waarom u deze gegevens opslaat.
  5. Projecten met een hoog risico op lekken moeten vooraf een inschatting van privacyrisico’s krijgen, een zogenaamde Privacy Impact Analyse (PIA).
  6. U mag persoonsgegevens alleen maar gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is. Er moet een ‘juridische grondslag’ zijn.
  7. De verantwoordelijke voor de gegevens moet toestemming vragen aan de eigenaar van de gegevens wanneer hij onderaannemers inschakelt (voor zover deze persoonsgegevens verwerkt). Dat geldt dus ook wanneer u Intermax inschakelt om uw gegevens te beheren en te bewaken.
  8. Bedrijven die buiten de EU zijn gevestigd of die buiten de EU gegevens van Europese burgers verwerken (denk aan Google, Amazon of Microsoft) moeten zich ook aan de AVG houden.

Waar te beginnen?

Het eenvoudigst is om te beginnen met een inventarisatie van de gegevens die u nu binnen uw bedrijf heeft. U dient een antwoord te formuleren op de volgende vragen:

  • Welke typen persoonsgegevens worden er binnen onze organisatie verwerkt?
  • Wat is het doel hiervan?
  • Van welke betrokkenen verwerken wij eigenlijk persoonsgegevens? Om wie gaat het eigenlijk?
  • Hoe lang bewaren wij deze gegevens?

Met de antwoorden op deze vragen is het maken van een PIA veel eenvoudiger. Ook kunt u gemakkelijker klanten te woord staan wanneer ze vragen hebben over hun gegevens.

Meer blogs uit onze blogserie over de AVG:

Bescherming persoonsgegevens, wie is verantwoordelijk? 

Moet ik een Functionaris Gegevensbescherming aanstellen?

Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Hoe zorg ik dat ik een datalek op tijd herken?

De vier belangrijkste gevaren van Shadow IT

 

Intermax Redactie