De meest gestelde vragen over de AVG

Wat is de Algemene Verordening Gegevensbescherming (AVG)? - De Algemene Verordening Gegevensbescherming is een Europese Wetgeving die door heel Europa de privacyrechten van mensen versterkt, meer verantwoordelijkheid legt bij bedrijven en de toezichthouders meer bevoegdheden geeft, zoals het opleggen van boetes tot 20 miljoen euro. De Engelse naam voor deze wet is General Data Protection Regulation (GDPR). Voor politie en justitie gelden aparte richtlijnen en het OM en opsporingsinstanties zijn vrijgesteld van de AVG.

 

Wanneer wordt de AVG van kracht?

De Algemene Verordening Gegevensbescherming wordt vanaf 25 mei 2018 van kracht. Vanaf dat moment geldt in de gehele Europese Unie dezelfde wetgeving die persoonsgegevens beschermt en gelden nationale wetten, zoals in Nederland de Wet bescherming persoonsgegevens (Wbp), niet meer. Tussen 25 mei 2016 en 25 mei 2018 geldt een overgangsperiode, waarin bedrijven zich kunnen voorbereiden op de veranderingen.

Wat is het verschil tussen de AVG en de Wbp?

Onder de AVG komen de nationale wetten van alle landen in de Europese Unie te vervallen en geldt overal dezelfde Algemene Verordening Gegevensbescherming. De Wbp was de Nederlandse privacywet. De AVG zorgt voor een versterking en uitbreiding van de privacyrechten, eveneens krijgen bedrijven een grotere verantwoordelijkheid en krijgen toezichthouders meer bevoegdheden. Een aantal voorbeelden van veranderingen zijn:

  • Gegevens worden sneller als privacygevoelig gekenmerkt. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, MAC-adressen en cookies onder persoonsgegevens;
  • Toestemming voor het gebruik van persoonsgegevens moet expliciet en in begrijpelijke taal worden gevraagd. De gegeven toestemming kan onder de nieuwe wetgeving ook weer gemakkelijk ingetrokken worden;
  • Als bedrijf moet u een register bijhouden met daarin welke gegevens worden opgeslagen, wat het doel is van de opslag, de bewaartermijn en de genomen beveiligingsmaatregelen. Dit register moet ten alle tijden up-to-date en inzichtelijk zijn;
  • Alle datalekken moeten intern gedocumenteerd worden, niet meer enkele de datalekken die gemeld moeten worden aan de toezichthouder.

Wat betekent de invoering van de AVG voor mijn bedrijf?

Met de AVG heeft u een aantal nieuwe of aangescherpte regelgevingen waaraan u moet voldoen. Als uw bedrijf op grote schaal persoonsgegevens verwerkt moet u een Functionaris Gegevensbescherming aanstellen. Voor het uitvoeringen van een verwerking van persoonsgegevens met een hoog privacyrisico bent u verplicht een Data Protection Impact Asessment (DPIA) uit te voeren. i-to-i kan uw bedrijf helpen te analyseren welke aanpassingen u moet doen om aan de AVG te voldoen.

Als uw bedrijf actief in meerdere Europese landen, heeft de invoering van de AVG het voordeel dat u niet meer voor elk Europees land aan aparte privacywetgeving hoeft te voldoen. Vanaf 28 mei 2018 geldt in heel Europa dezelfde wetgeving hieromtrent.

Hoe kan ik mij als bedrijf voorbereiden op de AVG?

Onder de AVG kunnen uw klanten met meer vragen en eisen bij u komen. Breng daarom in kaart met welke persoonsgegevens u werkt, waar ze vandaan komen en met wie u ze deelt. Zorg dat u kunt beantwoorden aan rechten van mensen zoals het recht op inzage, het recht op correctie en verwijdering, maar ook aan nieuwe rechten zoals het recht op dataportabiliteit en het recht op vergetelheid.

Voor het uitvoeren van verwerkingen van persoonsgegevens moet een hoog privacyrisico moet u onder de AVG een Data Protection Impact Assessment (DPIA) uitvoeren. Als u op grote schaal persoonsgegevens verwerkt moet u onder de AVG een Functionaris Gegevensbescherming aanstellen. i-to-i kan u helpen in de voorbereiding door een AVG Scan uit te voeren die inzicht geeft in de mate waarin u al voldoet aan de AVG.

Wat zijn de gevolgen als mijn bedrijf niet voldoet aan de AVG?

In de tweejarige overgangsperiode kunnen bedrijven zich voorbereiden op de AVG, als u er dan achter komt dat uw bedrijf niet voldoet aan de AVG kunt u maatregelen treffen hier alsnog aan te voldoen. Als u na 25 mei 2018 de AVG overtreedt, kunnen de boetes hoog oplopen. De maximale boetes zijn 20 miljoen euro of 4% van de wereldwijde jaaromzet als dat hoger uitvalt voor een organisatie. In veel gevallen zal wel eerst een waarschuwing worden gegeven.

Hoe kan ik testen of mijn bedrijf voldoet aan de AVG?

Door de AVG Scan van i-to-i te doen kunt u testen of uw bedrijf voldoet aan de AVG. Met de AVG scan wordt inzichtelijk gemaakt waar uw bedrijf staat op het gebied van privacywetgeving. Knelpunten worden geïdentificeerd en samen met i-to-i kunt u ervoor zorgen dat uw bedrijf aan alle relevante wet- en regelgeving voldoet.

Reddingsboei

 

Wanneer moet ik een Functionaris Gegevensbescherming aanstellen?

Het aanstellen van een Functionaris Gegevensbescherming is verplicht voor bedrijven die op grote schaal persoonsgegevens verwerken. Wanneer een verwerking grootschalig is, wordt niet exact gedefinieerd in de AVG, maar als voorbeelden worden onder andere gegeven de verwerking van persoonsgegevens in ziekenhuizen, vervoersmaatschappijen, verzekeringsmaatschappijen, banken en telefoon- of internetproviders. De Functionaris Gegevensbescherming is een onafhankelijk persoon binnen uw organisatie die adviseert en rapporteert over de naleving van de privacywetgeving.

Wanneer is een Privacy Impact Analyse (PIA) verplicht voor bedrijven?

U bent verplicht een PIA uit te voeren als een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, dit kan bijvoorbeeld zijn doordat persoonsgegevens op grote schaal worden verwerkt of omdat het gaat om bijzondere persoonsgegevens. Wanneer een verwerking grootschalig is, wordt niet exact gedefinieerd in de AVG, maar als voorbeelden worden onder andere gegeven de verwerking van persoonsgegevens in ziekenhuizen, vervoersmaatschappijen, verzekeringsmaatschappijen, banken en telefoon- of internetproviders. Bijzondere persoonsgegevens zijn gevoelige gegevens zoals godsdienst, politieke opvatting, gezondheid, seksueel leven, strafrechtelijk gedrag en ras.

Wat is het verschil tussen PIA en DPIA?

In de AVG wordt gesproken over DPIA (Data Protection Impact Assessment), maar DPIA en PIA (Privacy Impact Assessment) betekenen hetzelfde en worden in de praktijk vaak door elkaar gebruikt. Met een DPIA kunnen pricacyrisco’s bij het verwerken van gegevens in kaart woorden gebracht. Hierdoor kan een bedrijf al in een vroeg stadium al inschatten welke risico’s de verwerking van persoonsgegevens met zich meebrengt. De assessment is enkel verplicht als een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen.

Wat is het recht op vergetelheid in de AVG?

Burgers hebben het recht om een organisatie te vragen al hun persoonsgegevens te verwijderen. Met de inwerkingtreding van de AVG kunnen zij ook eisen dat de organisatie de verwijdering van de gegevens doorgeeft aan alle andere organisaties die de gegevens hebben gekregen van de betreffende organisatie. Hiermee is het recht breder geworden dan het recht op correctie en verwijdering uit de Wbp.

Het recht op vergetelheid geldt wanneer de organisatie de persoonsgegevens niet meer nodig heeft, de betrokkene zijn gegeven toestemming intrekt, wanneer de betrokkene bezwaar maakt tegen de verwerking, als er sprake is van onrechtmatige verwerking of als het gaat om gegevens van kinderen jonger dan 16.

Wat is het recht op dataportabiliteit in de AVG?

Het recht op dataportabiliteit geeft mensen de mogelijkheid de persoonsgegevens die een organisatie van hen heeft te ontvangen. Deze gegevens moeten op zo’n manier opgestuurd worden dat de betrokkene ze gemakkelijk zelf kan beheren en kan hergebruiken. De ontvangen persoonsgegevens mogen door de betrokkene ongehinderd verzonden worden naar een andere dienstverlener. Door het recht op dataportabiliteit hebben betrokkene meer controle over hun gegevens.

Wat is de meldplicht op datalekken in de AVG?

De meldplicht voor datalekken blijft onder de AVG grotendeels gelijk als onder Wbp. Enkel zijn bedrijven nu verplicht alle datalekken te documenteren en niet meer enkel de datalekken die ook gemeld moeten worden aan de Autoriteit Persoonsgegevens.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten