Algemene Verordening Gegevensbescherming (AVG)
General Data Protection Regulation (GDPR)
Per 25 mei 2018 is in de hele EU the General Data Protection Regulation (GDPR) van toepassing. In Nederland is dit de Algemene Verordening Gegevensbescherming (AVG). De AVG geldt voor alle bedrijven die actief zijn in de Europese Unie.
Deze nieuwe privacywetgeving zorgt voor administratieve lasten en dwingt organisaties tot zowel beleidswijzigingen als tot het nemen van de juiste organisatorische en technische maatregelen.
Wat is de GDPR?
The General Data Protection Regulation (GDPR) is de nieuwe Europese privacyverordening ter bescherming van persoonsgegevens en de privacy van de burger. Door organisaties te dwingen voorzichtig om te gaan met data wil de Europese Unie haar burgers beschermen tegen verlies en diefstal van persoonsgegevens. Per 25 mei 2018 geldt dezelfde privacywetgeving in de hele EU en moeten alle bedrijven die actief zijn in de EU voldoen aan de GDPR, in Nederland dus de Algemene Verordening Gegevensbescherming (AVG).
Algemene verordening gegevensbescherming (AVG)
De AVG is in mei 2016 in werking getreden. Er zit 2 jaar tussen de inwerkingtreding van de AVG en het moment dat deze daadwerkelijk van toepassing is. Van organisaties wordt verwacht dat zij die tijd gebruiken om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Tijdens die 2 jaar geldt in Nederland nog de Wet bescherming persoonsgegevens (Wbp).
Wet bescherming persoonsgegevens (Wbp)
De huidige Wet bescherming persoonsgegevens is gebaseerd op Europese privacyrichtlijnen uit 1995. Deze richtlijnen sluiten niet meer aan op de huidige digitale wereld en zijn daarom de afgelopen jaren herzien. Per 25 mei 2018 vervangt de AVG definitief de Wbp. Per die datum zijn alle bedrijven in Nederland verplicht aan de AVG te voldoen.
Inhoud AVG
De AVG voorziet onder meer in:
- Versterking en uitbreiding van privacyrechten van burgers en klanten;
- Meer verantwoordelijkheden voor organisaties;
- Dezelfde, stevige bevoegdheden voor Europese privacytoezichthouders.
De AVG in het kort, waar komt het op neer?
De vernieuwde privacywetgeving dwingt organisaties om na te denken over een passende beveiliging van persoonsgegevens. Enkele van de belangrijkste richtlijnen in de AVG zijn:
- U mag persoonsgegevens alleen maar gebruiken voor het doel waar de informatie oorspronkelijk voor is verzameld;
- U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit heeft;
- U moet vastleggen hoe u bij de verwerking van persoonsgegevens de beveiliging van deze gegevens waarborgt;
- U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft;
- Voor projecten waarbij gewerkt wordt met persoonsgegevens moet vooraf een inschatting van de risico’s gedaan worden. Een zogeheten PIA - Privacy impact assessment;
- U kunt verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen;
- U moet de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw systemen en -diensten kunnen garanderen.
Lees meer over de Basisprincipes Algemene Verordening Gegevensbescherming (AVG)
Meldplicht datalekken
De meldplicht datalekken houdt in dat bedrijven en overheden een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een datalek hebben. Deze meldplicht geldt sinds 1 januari 2016 en is verplicht voor alle organisaties in Nederland.
Helaas blijkt dat het met grote regelmaat mis gaat met de beveiliging van persoonsgegevens. In 2017 ontving de AP 10.000 meldingen van datalekken. Dit varieert van een e-mail verstuurd aan de verkeerde ontvanger tot een slecht beveiligd klantportaal waardoor klanten elkaars gegevens konden inzien.
De meldplicht datalekken verandert onder de AVG niet. Wat wel verandert zijn de boetes die kunnen worden opgelegd. Deze kunnen onder de nieuwe privacywet namelijk oplopen tot miljoenen euro’s.
Hoe pijnlijk is het niet naleven van de AVG?
Uw organisatie kan met ingrijpende gevolgen te maken krijgen als het gaat om uw datahuishouding. Bijvoorbeeld het moeten bijhouden van een register van alle verwerkingen van persoonsgegevens, het moeten uitvoeren van Data Protection Impact Assessments of het aanstellen van een Functionaris Gegevensbescherming.
Organisaties die persoonsgegevens verwerken moeten straks compliant zijn met de nieuwe regelgeving. Voldoet u op bepaalde aspecten niet aan de nieuwe wet, dan moet u in elk geval wel kunnen aantonen dat u de bescherming van persoonsgegevens uiterst serieus neemt en werkt aan verbetering. Kunt u dat niet, dan ondervindt u daar mogelijk de gevolgen van.
Bij niet naleven van de nieuwe regelgeving loopt u het risico op forse boetes. Dit kan oplopen tot 4% van de totale jaarlijkse inkomsten wereldwijd of 20 miljoen euro. Bij een datalek is dit tot 2% van de totale jaarlijkse inkomsten wereldwijd of 10 miljoen euro. Maar wellicht een groter probleem is de publiciteitsschade die uw organisatie oploopt wanneer de privacy niet op orde is en er mogelijk een datalek optreedt.
Voldoen aan de AVG
De AVG is per 25 mei 2018 definitief in werking getreden. Bedrijven worden geacht maatregelen te treffen in lijn met de nieuwe regelgeving. Dit betreft zowel beleidswijzigingen en organisatorische aspecten als technisch benodigde maatregelen.
Om u op weg te helpen, heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen voor u op een rij gezet. In een overzichtelijk whitepaper gaan wij in op de spelregels van de nieuwe wetgeving, en de impact hiervan op uw organisatie. Tevens hebben wij een AVG quickscan samengesteld welke in één oogopslag duidelijk maakt wat van u verwacht wordt en op welke punten u mogelijk actie moet ondernemen.
Hoe helpt VTM bij het voldoen aan de AVG?
VTM helpt organisaties om de juiste maatregelen te treffen om AVG compliant te worden, én te blijven. Wij ontwikkelen diensten om organisaties te helpen in lijn te zijn met de nieuwe regelgeving.
Neem contact met ons op om samen te kijken op welke vlakken wij u kunnen helpen om u te conformeren aan de nieuwe regelgeving. Kijk verder op deze pagina of neem contact met ons op via onderstaand formulier of via 0174 52 73 20.
Relevante links:
Gerelateerde pagina's
- Basisprincipes Algemene Verordening Gegevensbescherming (AVG)
- In 10 stappen voorbereid op de AVG
- Consequenties niet naleven AVG
- Verantwoordingsplicht
- Spelregels van de AVG - en de impact op uw organisatie
- AVG quickscan
- AVG compliant worden
AVG Tools