Ben jij klaar voor de AVG?

cyber security

AVG, hoewel deze regelgeving al op 24 mei 2016 in werking is getreden, hebben teveel mensen er nog nooit van gehoord. Gelukkig heb je nog tot 25 mei 2018 om jouw organisatie helemaal aan te passen. Maar ook die datum komt snel dichterbij, hoog tijd dus om je hierover in te lezen en actie te ondernemen!

Wat is AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. Men spreekt ook vaak over GDPR (General Data Protection Regulation), de algemene, Engelse term.
Kort gezegd komt het erop neer dat de wet betreffende gegevens verzamelen, gebruiken en overdragen is veranderd. Op 28 mei 2018 moet iedereen zijn zaakjes op orde hebben. Vanaf die datum kunnen (en zullen!) er boetes worden opgelegd aan hen die niet voldoen. En die boetes zijn niet mals: de maximale boete bedraagt 20 miljoen, of 4% van de jaarlijkse omzet van een onderneming!

Op wie is dit van toepassing?

De AVG is van toepassing op alle organisaties die persoonsgegevens (laten) verwerken van mensen die in de EU wonen. Houd hierbij rekening met het feit dat het inzien of opslaan al een vorm van verwerken is.

Wat is er veranderd?

• Versterking en uitbreiding van de privacyrechten: mensen moeten vrijwillig, specifiek en eenduidig toestemming geven. Ze hebben het recht hun gegevens in te zien en hun toestemming in te trekken. Te allen tijde hebben personen het recht om te eisen dat hun gegevens worden verwijderd. Mensen moeten ook steeds weten wat er met hun gegevens zal gebeuren. Daarbij komt dat organisaties moeten kunnen bewijzen dat ze op een geldige manier toestemming hebben verkregen.

• Verwerkingsbeginselen: dit zijn kernbeginselen waaraan alle verwerking van persoonsgegevens moet voldoen:

– Gegevens moeten op een rechtmatige en transparante manier worden verwerkt.
– Persoonsgegevens mogen enkel worden gebruikt voor een bepaald doel, dat ook uitdrukkelijk omschreven moet worden.
– Enkel de gegevens die noodzakelijk zijn voor dit doel, mogen worden verwerkt.
– Wanneer de identificatie niet meer noodzakelijk is voor het doel, moeten deze persoonsgegevens worden geanonimiseerd of verwijderd.
– Alle persoonsgegevens moeten correct en actueel zijn.
– Gegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

• Het begrip persoonsgegevens: dit is een stuk breder geworden. Men spreekt nu over ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat wil zeggen: ook wanneer je door middel van een (online) identificator kan vaststellen om wie het gaat, of iemand kan isoleren uit een groep. Een identificator is dan bijvoorbeeld een online nickname of IP-adres.

• Gegevensverwerking van kinderen: de leeftijd moet worden geverifieerd. Wanneer de personen jonger zijn dan 16, moet toestemming worden gevraagd aan de ouders. Lidstaten van de Europese Unie mogen deze leeftijd overigens verlagen naar 13 jaar.

• Meer verantwoordelijkheid voor organisaties: ze krijgen een verantwoordingsplicht. Dit houdt in dat organisaties met documenten moeten kunnen aantonen dat zij correcte maatregelen hebben getroffen om te voldoen aan de AVG. Dit zowel op organisatorisch als technisch vlak.

• Datalekken melden: alle datalekken moeten binnen de 72 uur worden gemeld. Daarom moet een duidelijke procedure worden ingesteld voor het detecteren, rapporteren en onderzoeken van datalekken.

• Organisaties kunnen verplicht zijn een PIA uit te voeren: een Privacy Impact Assessment. Dit is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen. Aan de hand hiervan kunnen maatregelen genomen worden om deze risico’s te verkleinen. Een PIA is enkel verplicht als het om een hoog privacyrisico gaat.

• Functionaris voor de gegevensbescherming (FG): organisaties waar men grootschalig gegevens verwerkt, zullen dadelijk verplicht worden om een FG in te huren / aan te stellen.

• Een wet op Europees niveau: alle Europese privacytoezichthouders hebben dezelfde bevoegdheid om boetes op te leggen.

Een behoorlijke hap informatie om te verwerken. Gelukkig heb je nog even de tijd om alles te regelen. Maar wacht niet te lang, je wil niet te laat zijn! Zoals je kan lezen, kunnen de boetes erg hoog zijn.
Om je verder op weg te helpen, deel ik nog twee links. Hier kan je stappenplannen vinden om je helemaal voor te bereiden:

https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20NL%20-%20V2.pdf

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf

Kijk ook zeker een keer verder op de website van de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/europese-privacywetgeving/voorbereiding-op-de-avg).
Het gaat hier wel om een Nederlandse website, maar de AVG is Europees vastgelegd. Alle informatie is dus net zo goed van toepassing in België.


Dit gastblog werd geschreven door Karolien Compiet van Venefica. Ook een gastblog schrijven? contacteer ons!

Over de auteur:

Karolien Compiet

Mama, perfectionist en computergek. Ook een creatieve taalverslaafde. En nog steeds een beetje Vlaams.
Maar eigenlijk vooral mezelf, want anderen zijn er al genoeg!


Geef een reactie

Je e-mailadres zal niet getoond worden. Verplichte velden zijn gemarkeerd met *