Wat is de AVG?

Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. Maar wat houdt dit precies in? 

Wij lichten hier de belangrijke onderwerpen uit de AVG toe en geven je een handige checklist waarmee je zelf aan de slag kunt gaan om privacy binnen jouw organisatie te waarborgen. 

Direct naar de checklist

Privacy-inventarisatie

Wat houdt de AVG in?

Privacy en de omgang met persoonsgegevens wordt steeds belangrijker. Het is van belang dat organisaties op de juiste wijze omgaan met persoonsgegevens van anderen. Gebeurt dat niet, dan kan dat leiden tot een datalek. In sommige gevallen komt in het nieuws dat een organisatie zich niet aan de privacywetgeving houdt of wordt zelfs een boete opgelegd. Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. De AVG legt vast hoe organisaties moeten omgaan met persoonsgegevens. Wij lichten hier de belangrijke onderwerpen uit de AVG toe en geven je een handige checklist waarmee je zelf aan de slag kunt gaan om privacy binnen jouw organisatie te waarborgen. Meer hulp nodig? Bij ons kun je terecht met al je juridische vragen.

Voor wie geldt de AVG?

De AVG geldt voor alle organisaties. De reden is simpel: vrijwel elke organisatie verwerkt persoonsgegevens. Denk aan de gegevens van eigen medewerkers, maar natuurlijk ook van klanten en websitebezoekers.

ICTJ_01.2

Belangrijke onderwerpen uit de AVG

In de AVG staan allerlei wettelijke bepalingen. Wij leggen enkele belangrijke onderwerpen uit.

Beginselen

  • Rechtmatigheid, behoorlijkheid en transparantie
    Het moet voor een betrokkene duidelijk zijn welke persoonsgegevens van hem of haar worden verwerkt. De communicatie hierover moet begrijpelijk zijn en het verwerken van persoonsgegevens mag niet in strijd zijn met de wet.

  • Doelbinding
    De persoonsgegevens mogen alleen voor een bepaald doel worden gebruikt.

  • Dataminimalisatie
    Verwerk zo min mogelijk persoonsgegevens. Voor het versturen van een nieuwsbrief is het bijvoorbeeld voldoende om alleen een e-mailadres te hebben. Het is niet nodig om te weten waar de nieuwsbriefontvanger woont.

  • Juistheid
    Alle persoonsgegevens die binnen een organisatie worden verwerkt, moeten juist zijn. Kom je erachter dat gegevens van een klant onjuist zijn, dan moeten de gegevens aangepast worden.

  • Opslagbeperking
    Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is er een wettelijke bewaartermijn? Dan dien je je daaraan te houden. In andere gevallen mag je zelf een bewaartermijn vaststellen.

  • Integriteit en vertrouwelijkheid
    Alle organisaties moeten passende beveiligingsmaatregelen treffen om ervoor te zorgen dat de gegevens voldoende beveiligd zijn

Grondslagen

Een organisatie mag alleen persoonsgegevens verwerken als daar een wettelijke grondslag voor is. In de AVG staan zes grondslagen:

  • Toestemming
  • Uitvoering van de overeenkomst
  • Wettelijk verplichting
  • Vitale belang
  • Algemeen belang
  • Gerechtvaardigd belang

Informatieplicht

Het informeren over welke persoonsgegevens een organisatie verwerkt, gebeurt via een privacyverklaring. Het is gebruikelijk om de privacyverklaring op de website te publiceren. In dat document legt een organisatie uit voor welke doeleinden de persoonsgegevens nodig zijn, welke persoonsgegevens worden verwerkt, op basis van welke grondslag dat gebeurt en hoelang de gegevens bewaard blijven. Ook is het verplicht om uit te leggen welke rechten betrokkenen hebben, en naar welke derde partijen de gegevens worden doorgestuurd.

Rolverdeling en afspraken met andere partijen

Organisaties maken gebruik van allerlei softwarepakketten en systemen. Denk aan een HR- of CRM-systeem, of een boekhoudpakket. Een ander voorbeeld is het gebruik van beveiligingscamera’s op kantoor of in een magazijn. Met de leveranciers die dergelijke systemen of pakketten leveren, moeten afspraken worden gemaakt. De leveranciers verwerken namelijk persoonsgegevens. De afspraken over de omgang met persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.

Datalekken

Wanneer er inbreuk wordt gemaakt op de beveiliging van persoonsgegevens is er sprake van een datalek. Medewerker A heeft per ongeluk de salarisstrook van medewerker B ontvangen, of een orderbevestiging van klant C is naar klant D verstuurd. In dat soort gevallen is het belangrijk dat een organisatie snel handelt. De fout moet hersteld worden, het datalek moet intern geregistreerd worden. Misschien is het zelfs verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens en de betrokkene(n).

Bekijk de onderwerpenLees minder


Hoe zorg ik ervoor dat mijn organisatie AVG-compliant is?  

Voldoen aan de AVG is niet altijd eenvoudig. Organisaties zien soms door de bomen het bos niet meer. Om organisaties op weg te helpen om AVG-compliant te worden, hebben wij een simpele checklist van 5 stappen samengesteld:

  • Inventarisatie
  • Beoordeling 
  • Documentatie
  • Procedures
  • Awareness en Controle

Heb je hier geen tijd of capaciteit voor? Geen probleem! Wij voeren een privacy-inventarisatie uit voor jouw organisatie. 

Checklist

Laat je e-mailadres achter en ontvang de checklist direct in je inbox. 

Soms verplicht: Functionaris Gegevensbescherming 

Sommige organisaties zijn wettelijk verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Het is aan de FG om ervoor te zorgen dat de organisatie in overeenstemming met de AVG handelt. Daarbij neemt de FG een onafhankelijke positie in en geeft advies waar nodig.  

Onderstaande organisaties zijn verplicht om een FG aan te stellen:  

  • Overheidsorganen
  • Organisaties die belast zijn met stelselmatige observatie
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

Ook voor organisaties die niet onder een van deze categorieën vallen, is het raadzaam om een FG aan te stellen. Dit om privacy te waarborgen.

De AP: toezichthouder AVG

De Autoriteit Persoonsgegevens (AP) is in Nederland toezichthouder op het gebied van privacy. De AP is bevoegd om organisaties aan te spreken wanneer niet in overeenstemming met de AVG wordt gehandeld. Ook heeft de AP de mogelijkheid om een boete op te leggen. Logischerwijs willen organisaties geen boete ontvangen vanwege de financiële schade. Maar organisaties vergeten vaak dat reputatieschade misschien nog veel erger is. Om welke schade dan ook te voorkomen doen organisaties er goed aan om AVG-compliant te zijn en te blijven.

Welke documenten heb ik nodig om te zorgen dat mijn organisatie compliant is?  

Vaak wordt gezegd dat de AVG ‘een papieren tijger’ is. Organisaties moeten namelijk beschikken over verschillende documenten. Onderstaande documenten zijn een must-have:   

FG_10.2

AVG op hoofdlijnen

Wanneer is de AVG van toepassing, wat is een persoonsgegeven en waar moet je rekening mee houden op privacygebied? Je leert het in deze dagtraining van onze privacy experts. De training is interactief en bevat diverse praktische handvatten.

Meer info en aanmelden

Inhouse trainingen

Het is belangrijk dat medewerkers over voldoende privacykennis beschikken.

Wij verzorgen veel in-house trainingen. De trainingen worden voor de organisatie op maat gemaakt. Voor een marketingafdeling is het bijvoorbeeld goed om te weten wat is toegestaan qua cookies, het versturen van commerciële berichten of het gebruik van persoonsgegevens voor marketingdoeleinden. Een HR-afdeling komt in aanraking met persoonsgegevens van sollicitanten en medewerkers. Binnen die afdeling spelen weer andere privacyvraagstukken. 

Tijdens de in-house training bespreken wij diverse praktijkvoorbeelden. Op die manier is de training geschikt voor juristen en niet-juristen.  

Meer info

Privacy-inventarisatie 

Hulp nodig met de AVG? Wij kunnen een privacy-inventarisatie uitvoeren voor jouw organisatie en geven je dan direct een praktische lijst om zelf meteen aan de slag te gaan.

Onze werkwijze bestaat uit de volgende stappen:

1. Gesprekken voeren
Eerst gaan we met medewerkers in gesprek en doen we onderzoek naar welke persoonsgegevens worden verwerkt, wat hier mee gebeurt en of er afspraken zijn met derde partijen.

2. Documenten reviewen
Wij controleren de huidige privacydocumenten en kijken daarbij of alle documenten compleet zijn en of ze naar behoren zijn opgesteld

3. Actiepuntenlijst opstellen
Wij stellen een praktische en concrete lijst met actie- en verbeterpunten op.

Vul het contactformulier in of bel ons (telefoonnummer 020 663 1941).

Uitgebreidere hulp nodig? Wij bieden ook een FG of privacy officer op afstand aan.

Meer informatie over de privacy-inventarisatie?
ICTRecht B.V.

info@ictrecht.nl

Amsterdam
T +31 (0)20 663 1941

Enschede
T +31 (0)50 209 34 99

Eindhoven
T +31 (0)20 66 31 941

Groningen
T +31 (0)50 209 34 99

Maastricht
T +31 (0)6 81034433
Meer informatie

Juridisch advies
Detachering
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures
Referenties

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals contracteren, informatiebeveiliging, innovatie, marketing, cloud, e-commerce, privacy en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22-Twitter SM 22_Instagram