Is mijn organisatie AVG-compliant?

Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. Maar wat betekent dit voor jou?  

Wij bieden je een handige checklist waarmee je zelf aan de slag kunt gaan om privacy binnen jouw organisatie te waarborgen.

Direct naar de checklist

Veel gestelde vragen over de AVG:

Wat houdt de AVG in?

Privacy en de omgang met persoonsgegevens wordt steeds belangrijker. Het is van belang dat organisaties op de juiste wijze omgaan met persoonsgegevens van anderen. Gebeurt dat niet, dan kan dat leiden tot een datalek. In sommige gevallen komt in het nieuws dat een organisatie zich niet aan de privacywetgeving houdt of wordt zelfs een boete opgelegd. Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. De AVG legt vast hoe organisaties moeten omgaan met persoonsgegevens.

Lees meerLees minder

Voor wie geldt de AVG?

De AVG geldt voor alle organisaties. De reden is simpel: vrijwel elke organisatie verwerkt persoonsgegevens. Denk aan de gegevens van eigen medewerkers, maar natuurlijk ook van klanten en websitebezoekers.

 

Lees meerLees minder

Wat zijn belangrijke onderwerpen uit de AVG?

Beginselen

  • Rechtmatigheid, behoorlijkheid en transparantie
    Het moet voor een betrokkene duidelijk zijn welke persoonsgegevens van hem of haar worden verwerkt. De communicatie hierover moet begrijpelijk zijn en het verwerken van persoonsgegevens mag niet in strijd zijn met de wet.

  • Doelbinding
    De persoonsgegevens mogen alleen voor een bepaald doel worden gebruikt.

  • Dataminimalisatie
    Verwerk zo min mogelijk persoonsgegevens. Voor het versturen van een nieuwsbrief is het bijvoorbeeld voldoende om alleen een e-mailadres te hebben. Het is niet nodig om te weten waar de nieuwsbriefontvanger woont.

  • Juistheid
    Alle persoonsgegevens die binnen een organisatie worden verwerkt, moeten juist zijn. Kom je erachter dat gegevens van een klant onjuist zijn, dan moeten de gegevens aangepast worden.

  • Opslagbeperking
    Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is er een wettelijke bewaartermijn? Dan dien je je daaraan te houden. In andere gevallen mag je zelf een bewaartermijn vaststellen.

  • Integriteit en vertrouwelijkheid
    Alle organisaties moeten passende beveiligingsmaatregelen treffen om ervoor te zorgen dat de gegevens voldoende beveiligd zijn

Grondslagen

Een organisatie mag alleen persoonsgegevens verwerken als daar een wettelijke grondslag voor is. In de AVG staan zes grondslagen:

  • Toestemming
  • Uitvoering van de overeenkomst
  • Wettelijk verplichting
  • Vitale belang
  • Algemeen belang
  • Gerechtvaardigd belang

Informatieplicht

Het informeren over welke persoonsgegevens een organisatie verwerkt, gebeurt via een privacyverklaring. Het is gebruikelijk om de privacyverklaring op de website te publiceren. In dat document legt een organisatie uit voor welke doeleinden de persoonsgegevens nodig zijn, welke persoonsgegevens worden verwerkt, op basis van welke grondslag dat gebeurt en hoelang de gegevens bewaard blijven. Ook is het verplicht om uit te leggen welke rechten betrokkenen hebben, en naar welke derde partijen de gegevens worden doorgestuurd.

Rolverdeling en afspraken met andere partijen

Organisaties maken gebruik van allerlei softwarepakketten en systemen. Denk aan een HR- of CRM-systeem, of een boekhoudpakket. Een ander voorbeeld is het gebruik van beveiligingscamera’s op kantoor of in een magazijn. Met de leveranciers die dergelijke systemen of pakketten leveren, moeten afspraken worden gemaakt. De leveranciers verwerken namelijk persoonsgegevens. De afspraken over de omgang met persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.

Datalekken

Wanneer er inbreuk wordt gemaakt op de beveiliging van persoonsgegevens is er sprake van een datalek. Medewerker A heeft per ongeluk de salarisstrook van medewerker B ontvangen, of een orderbevestiging van klant C is naar klant D verstuurd. In dat soort gevallen is het belangrijk dat een organisatie snel handelt. De fout moet hersteld worden, het datalek moet intern geregistreerd worden. Misschien is het zelfs verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens en de betrokkene(n).

Bekijk de onderwerpenLees minder

Is een Functionaris Gegevensbescherming verplicht?

Sommige organisaties zijn wettelijk verplicht om een functionaris gegevensbescherming (FG) aan te stellen. De FG informeert en adviseert over de omgang met persoonsgegevens. Daarbij neemt de FG een onafhankelijke positie in.   

Onderstaande organisaties zijn verplicht om een FG aan te stellen:

Onderstaande organisaties zijn verplicht om een FG aan te stellen:

  • Overheidsorganen
  • Organisaties die belast zijn met stelselmatige observatie
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

Ook voor organisaties die niet onder een van deze categorieën vallen, is het raadzaam om een FG aan te stellen. Dit om privacy te waarborgen.

Lees meerLees minder

Wat is de rol van de toezichthouder Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens (AP) is in Nederland toezichthouder op het gebied van privacy. De AP is bevoegd om organisaties aan te spreken wanneer niet in overeenstemming met de AVG wordt gehandeld. Ook heeft de AP de mogelijkheid om een boete op te leggen. Logischerwijs willen organisaties geen boete ontvangen vanwege de financiële schade. Maar organisaties vergeten vaak dat reputatieschade misschien nog veel erger is. Om welke schade dan ook te voorkomen doen organisaties er goed aan om AVG-compliant te zijn en te blijven.

Lees meerLees minder

Welke documenten heb ik nodig om te zorgen dat mijn organisatie compliant is? 

Vaak wordt gezegd dat de AVG ‘een papieren tijger’ is. Organisaties moeten namelijk beschikken over verschillende documenten. Onderstaande documenten zijn een must-have: 

Lees meerLees minder

Check in 5 stappen of jij voldoet aan de AVG

Voldoen aan de AVG is niet altijd eenvoudig. Organisaties zien soms door de bomen het bos niet meer. Om organisaties op weg te helpen om AVG-compliant te worden, hebben wij een simpele checklist van 5 stappen samengesteld:

  • Inventarisatie
  • Beoordeling
  • Documentatie
  • Procedures
  • Awareness en Controle

Heb je hier geen tijd of capaciteit voor? Geen probleem! Wij voeren een privacy-inventarisatie uit voor jouw organisatie. 

AVG checklist preview Lowres

 

Laat je e-mailadres achter en ontvang de checklist direct in je inbox.

Hulp nodig bij de AVG?

Wij kunnen een privacy-inventarisatie uitvoeren voor jouw organisatie en geven je dan direct een praktische lijst om zelf meteen aan de slag te gaan.

Onze werkwijze bestaat uit de volgende stappen:

1. Gesprekken voeren
Eerst gaan we met medewerkers in gesprek en doen we onderzoek naar welke persoonsgegevens worden verwerkt, wat hier mee gebeurt en of er afspraken zijn met derde partijen.

2. Documenten reviewen
Wij controleren de huidige privacydocumenten en kijken daarbij of alle documenten compleet zijn en of ze naar behoren zijn opgesteld

3. Actiepuntenlijst opstellen
Wij stellen een praktische en concrete lijst met actie- en verbeterpunten op.

Meer informatie over de privacy-inventarisatie?
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram