AVG-privacyregels

Op 25 mei 2018 wordt definitief de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG gaat de Wet bescherming persoonsgegevens (Wbp) die per diezelfde datum komt te vervallen, vervangen. De AVG brengt nieuwe verplichtingen en verantwoordelijkheden met zich mee. Alle bedrijven en organisaties die werken met persoonsgegevens moeten zich voorbereiden op deze AVG, dus ook kleine mkb’ers en zzp’ers.

Als de AVG van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk gelegd op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht.

Verantwoordingsplicht

De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Maar de AVG biedt u als organisatie tegelijkertijd meer instrumenten die u helpen om de wet na te leven. Bijvoorbeeld modelbepalingen voor doorgifte van persoonsgegevens. Als organisatie kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG. De Autoriteit Persoonsgegevens heeft de tien belangrijkste stappen voor u op een rijtje gezet.

Nieuwe privacyrechten

Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten, zoals het recht op inzage en het recht op dataportabiliteit.

Recht op inzage

Mensen kunnen een organisatie vragen of deze persoonsgegevens van hen heeft vastgelegd. Hiervoor hoeven zij geen reden aan te geven. Vraagt iemand om inzage, dan moet de organisatie diegene op een duidelijke en begrijpelijke manier laten weten of de organisatie zijn persoonsgegevens gebruikt en zo ja:

om welke gegevens het gaat;
wat het doel is van het gebruik;
aan wie de organisatie de gegevens eventueel heeft verstrekt;
wat de herkomst is van de gegevens, als deze bekend is.

Het recht op inzage betreft overigens alleen inzage in iemands eigen gegevens.

Recht op dataportabiliteit

Dit betekent dat mensen straks (onder bepaalde voorwaarden) het recht hebben om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

De gegevensverwerking uitbesteed?

Indien u de gegevensverwerking heeft uitbesteed aan een verwerker, dan dient u te beoordelen in hoeverre de overeenkomst voldoet aan de eisen die de AVG aan een overeenkomst met de verwerker stelt. Het is belangrijk om tijdig wijzigingen aan te brengen.

In de verwerkersovereenkomst dient onder andere het volgende aan bod te komen:

Algemene beschrijving van de aard en het doel van de verwerking, soort persoonsgegevens en rechten en plichten van u.
Instructies ten aanzien van de verwerking.
Geheimhoudingsplicht voor werknemers in dienst van of werkzaam voor de verwerker.
Beveiliging: passende technische en organisatorische maatregelen.
Subverwerkers: niet zonder toestemming.
Privacyrechten: recht op inzage, correctie, vergetelheid en dataportabiliteit.
Andere verplichtingen: melden datalekken, uitvoeren data protection impact assessment en dataminimalisatie.
Gegevens verwijderen: niet langer bewaren dan noodzakelijk.
Audits: medewerking verlenen.

Bewaartermijn

Uitgangspunt bij de AVG is dat gegevens niet langer bewaard mogen worden dan noodzakelijk is voor het doel van de verwerking. Een termijn wordt daarbij niet genoemd, aangezien dit per geval kan verschillen. Wel worden in andere wetten concrete bewaartermijnen genoemd.

Onder de AVG moet in ieder geval het volgende geregeld worden ten aanzien van de bewaartermijn:

Van tevoren bepaalt u hoe lang u de persoonsgegevens bewaart. Als dat niet mogelijk is, bepaalt u in elk geval de criteria voor het vaststellen van de bewaartermijn. De bewaartermijn of de criteria legt u vast in een bewaarbeleid.
De bewaartermijnen moeten worden vastgelegd, bijvoorbeeld in een register van verwerkingen.
De betrokkenen (de mensen van wie u gegevens verwerkt) informeert u over de bewaartermijnen. Bijvoorbeeld via een privacyverklaring op uw website.

Langere bewaartermijn

In een aantal situaties mogen, onder voorwaarden, gegevens langer worden bewaard dan noodzakelijk is voor het oorspronkelijke doel van de verwerken. U kunt daarbij denken aan gegevens die onder andere van belang zijn voor wetenschappelijk of historisch onderzoek, voor statistische doeleinden of voor het algemeen belang.

Let op!

Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug als u dat wilt. Ook verwijdert hij kopieën. Dit is slechts anders als de verwerker wettelijk verplicht is de gegevens te bewaren.

Tip:
Kijk op de website van de Autoriteit Persoonsgegevens voor meer informatie.

Wendy Burgmans HR-adviseur

wendy@uwaccountant.nl

Ontdekkracht in je mailbox

Ondernemen is ontdekken. Van de wereld om ons heen en van ons bedrijf. Van onszelf als ondernemer en de ander als klant, leverancier of partner. Succesvol ondernemen kan niet zonder ontdekken. Succesvol ondernemen heeft grenzeloos denken nodig. Een niet te stuiten drang om op de troepen vooruit te lopen. Een pure nieuwsgierigheid om op avontuur te gaan en te onderzoeken. Zeker in de huidige wereld, die sneller verandert dan ooit. Ontdekkracht laat ons dingen zien die we niet eerder zagen. Dingen doen die we niet eerder deden. En ervaren wat we nog niet eerder ervoeren.

Meer over Ontdekkracht

Ontdek wie deze website mogelijk heeft gemaakt.

Makkelijk contact

Klaar om het gebaande pad te verlaten? Grenzeloos te denken en te ontdekken hoe het anders kan? Toe aan een flinke dosis creativiteit en innovatie? Ontdek wat er gebeurt als je contact met ons opneemt.

Naam*
Voornaam Achternaam

E-mailadres*

Accountants & Adviseurs

AVG-privacyregels

Ontdekkracht in je mailbox

Laatste blogs

Makkelijk contact