door | jun 15, 2020

Wat is de AVG?

‘De AVG geldt voor iedereen die persoonsgegevens verwerkt’

Wat is de AVG, de Algemene Verordening Gegevensbescherming? Dat is de naam van de nieuwe privacyregelgeving, die sinds 25 mei 2018 geldt in de hele Europese Unie. De wet geeft duidelijkheid over de bescherming van persoonsgegevens en maakt vrij verkeer van deze gegevens mogelijk binnen de EU. Wie zich niet aan deze regelgeving houdt, riskeert een forse boete. Lees verder.

Voor wie geldt de AVG

De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dat kan gaan om grote multinationals, maar ook om kleinere bedrijven, zzp’ers, scholen, zorginstellingen en stichtingen. In de meeste gevallen wordt er al snel een berg aan persoonlijke data verzameld: van gegevens over (potentiële) klanten en leveranciers tot die van medewerkers en nieuwsbrief-abonnees.

 

Persoonsgegevens staan centraal.

 De AVG heeft betrekking op persoonsgegevens. Deze gegevens zijn te herleiden naar een natuurlijk persoon, legt privacy-advocaat Hylke Klasens uit. ,,Dan moet je denken aan de gegevens over naam, adres, postcode en woonplaats, maar ook aan nummerborden en IP-adressen.’’

Het is niet toegestaan om bijzondere persoonsgegevens te verwerken. Dit zijn gegevens die zo gevoelig zijn, dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Klasens: ,,Het betreft dan bijvoorbeeld gegevens over politieke voorkeur, godsdienst of een lidmaatschap van een vakbond. Alleen als er een uitzondering uit de AVG van toepassing is, mag je die gegevens verwerken. Een betrokkene kan bijvoorbeeld uitdrukkelijk zijn toestemming geven voor het verwerken van bijzondere persoonsgegevens.’’

 

ONline training van AVG

Online Training Basiskennis AVG

Bijzonder nuttig als je verantwoordelijk bent voor privacybescherming.  

Wat is de AVG

De AVG bevat de regels die van toepassing zijn op de bescherming van persoonsgegevens en geeft burgers en klanten het recht te weten wat er met hun gegevens gebeurt. Het ‘verwerken’ is een breed begrip: het gaat onder andere om het bewaren, opslaan, gebruiken, inzien en verwijderen van persoonlijke gegevens. Lukraak een klantenbestand opbouwen, beheren en tot in lengte van dagen bewaren is niet de bedoeling van de AVG.

,,Volgens de AVG mag je alleen gegevens verwerken die echt noodzakelijk zijn voor de uitoefening van je activiteiten’’, aldus Klasens. ,,Zo heeft een webshop natuurlijk je adresgegevens nodig voor de bezorging van een pakketje, maar hoeft die niet per se je geboortedatum te weten. In sommige gevallen is dat juist weer wél nodig. Een webshop die alcohol verkoopt, moet weten of iemand minstens 18 jaar is.’’

Ook is het niet de bedoeling om gegevens langer te bewaren dan nodig is. ,,Een webshop kan de klantgegevens in principe verwijderen zodra het pakje is bezorgd. Een uitgeverij die abonnementen op tijdschriften verkoopt, dient juist langer over de gegevens te beschikken. Het kan ook zijn dat persoonsgegevens langer bewaard moeten worden om aan wettelijke verplichtingen te voldoen, bijvoorbeeld om fiscale redenen.’’

Een checklist op te helpen de AVGAVG opzettem

“Goed opzetten van je privacybescherming, vraagt om veel details.” 

Download onze gratis checklist, >> klik hier

De noodzaak van en verwerkingsregister

Een bedrijf of organisatie moet dus nauwkeurig bepalen wélke persoonsgegevens worden verwerkt, hoe lang ze worden bewaard en voor welk doel ze worden gebruikt. De AVG vereist dat bedrijven en organisaties daarvoor een verwerkingenregister opstellen. ,,Dit is een document waarin staat wat je met de gegevens doet’’, zegt Klasens.  ,,Je verwoordt onder andere hierin de doeleinden, de grondslagen en de bewaartermijnen voor het verwerken van persoonsgegevens. Iedereen die structureel persoonsgegevens verwerkt, moet dit opstellen. Het is niet openbaar, maar je moet het kunnen overhandigen als de Autoriteit Persoonsgegevens een controle uitvoert.’’

Daarnaast geldt er volgens de AVG de plicht om transparant te zijn en informatie te verschaffen over de verwerking van persoonsgegevens aan betrokkenen. Dat kun je doen door het opstellen van een privacyverklaring, die voor iedereen is in te zien op je website. ,,Hierin geef je onder andere aan voor welk doel je de persoonsgegevens verwerkt, voor hoe lang en aan wie je ze verstrekt. Het belangrijkst is dat deze privacyverklaring goed leesbaar is.’’

Privacy bescherming

Functionaris gegevensbescherming

Verder is het raadzaam één iemand binnen een bedrijf of organisatie verantwoordelijk te maken voor de naleving van de AVG, zegt Klasens. ,,Hij of zij is het aanspreekpunt als er vragen zijn of als verzoeken van betrokkenen dienen te worden afgehandeld. Dat is doorgaans ook degene die, indien dat nodig is, bij de Autoriteit Persoonsgegevens melding maakt van een datalek. Daarnaast kan in bepaalde omstandigheden het bedrijf of organisatie verplicht zijn om een Functionaris Gegevensbescherming aan te stellen.’’

 

De autoriteit persoonsgegevens

De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder die in Nederland controleert of bedrijven en organisaties aan de AVG voldoen. ,,De AP heeft verregaande bevoegdheden’’, vertelt Klasens. ,,Ze kan onder meer een last onder dwangsom en een boete opleggen, die in het uiterste geval 20 miljoen euro of 4 procent van de wereldwijde omzet kunnen bedragen. Meestal komt het niet zo ver en krijg je eerst een waarschuwing. Maar het kan al funest zijn voor je imago als bekend wordt dat je onzorgvuldig met persoonsgegevens omgaat.’’

Op de hoogte blijven van trends in privacy en informatiebeveiliging?

'Schrijf je in op de nieuwsbrief'

"*" geeft vereiste velden aan

Naam*
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Lees ook: