ICTRecht - Header - STAAND - Overheid (9)

    Is mijn organisatie AVG-compliant?

    Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. Maar wat betekent dit voor jou?  Wij bieden je een handige checklist waarmee je zelf aan de slag kunt gaan om privacy binnen jouw organisatie te waarborgen.

    Direct naar de checklist

    Wat houdt de AVG in?

    Privacy en de omgang met persoonsgegevens wordt steeds belangrijker. Het is van belang dat organisaties op de juiste wijze omgaan met persoonsgegevens van anderen. Gebeurt dat niet, dan kan dat leiden tot een datalek. In sommige gevallen komt in het nieuws dat een organisatie zich niet aan de privacywetgeving houdt of wordt zelfs een boete opgelegd. Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. De AVG legt vast hoe organisaties moeten omgaan met persoonsgegevens.

    Wat houdt de AVG in?

    De belangrijkste onderwerpen uit de AVG

    De AVG bevat een aantal kernonderwerpen die bepalen hoe organisaties zorgvuldig met persoonsgegevens moeten omgaan. Hieronder zetten we deze belangrijkste punten helder voor je op een rij.

    Beginselen

    • Rechtmatigheid, behoorlijkheid en transparantie
      Het moet voor een betrokkene duidelijk zijn welke persoonsgegevens van hem of haar worden verwerkt. De communicatie hierover moet begrijpelijk zijn en het verwerken van persoonsgegevens mag niet in strijd zijn met de wet.

    • Doelbinding
      De persoonsgegevens mogen alleen voor een bepaald doel worden gebruikt.

    • Dataminimalisatie
      Verwerk zo min mogelijk persoonsgegevens. Voor het versturen van een nieuwsbrief is het bijvoorbeeld voldoende om alleen een e-mailadres te hebben. Het is niet nodig om te weten waar de nieuwsbriefontvanger woont.

    • Juistheid
      Alle persoonsgegevens die binnen een organisatie worden verwerkt, moeten juist zijn. Kom je erachter dat gegevens van een klant onjuist zijn, dan moeten de gegevens aangepast worden.

    • Opslagbeperking
      Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is er een wettelijke bewaartermijn? Dan dien je je daaraan te houden. In andere gevallen mag je zelf een bewaartermijn vaststellen.

    • Integriteit en vertrouwelijkheid
      Alle organisaties moeten passende beveiligingsmaatregelen treffen om ervoor te zorgen dat de gegevens voldoende beveiligd zijn

    Grondslagen

    Een organisatie mag alleen persoonsgegevens verwerken als daar een wettelijke grondslag voor is. In de AVG staan zes grondslagen:

    • Toestemming
    • Uitvoering van de overeenkomst
    • Wettelijk verplichting
    • Vitale belang
    • Algemeen belang
    • Gerechtvaardigd belang

    Informatieplicht

    Het informeren over welke persoonsgegevens een organisatie verwerkt, gebeurt via een privacyverklaring. Het is gebruikelijk om de privacyverklaring op de website te publiceren. In dat document legt een organisatie uit voor welke doeleinden de persoonsgegevens nodig zijn, welke persoonsgegevens worden verwerkt, op basis van welke grondslag dat gebeurt en hoelang de gegevens bewaard blijven. Ook is het verplicht om uit te leggen welke rechten betrokkenen hebben, en naar welke derde partijen de gegevens worden doorgestuurd.

    Rolverdeling en afspraken met andere partijen

    Organisaties maken gebruik van allerlei softwarepakketten en systemen. Denk aan een HR- of CRM-systeem, of een boekhoudpakket. Een ander voorbeeld is het gebruik van beveiligingscamera’s op kantoor of in een magazijn. Met de leveranciers die dergelijke systemen of pakketten leveren, moeten afspraken worden gemaakt. De leveranciers verwerken namelijk persoonsgegevens. De afspraken over de omgang met persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.

    Datalekken

    Wanneer er inbreuk wordt gemaakt op de beveiliging van persoonsgegevens is er sprake van een datalek. Medewerker A heeft per ongeluk de salarisstrook van medewerker B ontvangen, of een orderbevestiging van klant C is naar klant D verstuurd. In dat soort gevallen is het belangrijk dat een organisatie snel handelt. De fout moet hersteld worden, het datalek moet intern geregistreerd worden. Misschien is het zelfs verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens en de betrokkene(n).

    Lees meerLees minder

    Verwerkersovereenkomst

    De AVG maakt onderscheid tussen een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking. En de verwerker handelt in opdracht van de verwerkingsverantwoordelijke. Deze partijen moeten een verwerkersovereenkomst sluiten. In die overeenkomst maken partijen afspraken over hoe er wordt omgegaan met de persoonsgegevens.

    Data-uitwisselingsovereenkomst

    Wanneer beide partijen gezamenlijk verwerkingsverantwoordelijke zijn, dan maken zij afspraken in een data-uitwisselingsovereenkomst. Als partijen zelfstandig verwerkingsverantwoordelijke zijn, is zo’n overeenkomst niet verplicht, maar wel aan te raden. Dit om bijvoorbeeld te waarborgen dat de ontvanger de gegevens niet voor een ander doel verwerkt dan waarvoor ze verstrekt zijn.

    Documenten om te voldoen aan de AVG

    Vaak wordt gezegd dat de AVG ‘een papieren tijger’ is. Organisaties moeten namelijk beschikken over verschillende documenten. Onderstaande documenten zijn een must-have:

    Meer informatie

    Documenten om te voldoen aan de AVG

    Check in 5 stappen of jij voldoet aan de AVG

    Voldoen aan de AVG is niet altijd eenvoudig. Organisaties zien soms door de bomen het bos niet meer. Om organisaties op weg te helpen om AVG-compliant te worden, hebben wij een simpele checklist van 5 stappen samengesteld.

    Heb je hier geen tijd of capaciteit voor? Geen probleem! Wij voeren een privacy-inventarisatie uit voor jouw organisatie.

    Download checklist

    Visual voorkant checklist AVG

    Veelgestelde vragen over de AVG

    Voor wie geldt de AVG?

    De AVG geldt voor alle organisaties. De reden is simpel: vrijwel elke organisatie verwerkt persoonsgegevens. Denk aan de gegevens van eigen medewerkers, maar natuurlijk ook van klanten en websitebezoekers.

    Is een Functionaris Gegevensbescherming verplicht?

    Sommige organisaties zijn wettelijk verplicht om een functionaris gegevensbescherming (FG) aan te stellen. De FG informeert en adviseert over de omgang met persoonsgegevens. Daarbij neemt de FG een onafhankelijke positie in.

    Onderstaande organisaties zijn verplicht om een FG aan te stellen:

    • Overheidsorganen
    • Organisaties die belast zijn met stelselmatige observatie
    • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

    Ook voor organisaties die niet onder een van deze categorieën vallen, is het raadzaam om een FG aan te stellen. Dit om privacy te waarborgen.

    Wat is de rol van de toezichthouder Autoriteit Persoonsgegevens?

    De Autoriteit Persoonsgegevens (AP) is in Nederland toezichthouder op het gebied van privacy. De AP is bevoegd om organisaties aan te spreken wanneer niet in overeenstemming met de AVG wordt gehandeld. Ook heeft de AP de mogelijkheid om een boete op te leggen. Logischerwijs willen organisaties geen boete ontvangen vanwege de financiële schade. Maar organisaties vergeten vaak dat reputatieschade misschien nog veel erger is. Om welke schade dan ook te voorkomen doen organisaties er goed aan om AVG-compliant te zijn en te blijven.

    Wat zijn de basisregels van de AVG?

    De AVG kent zes basisprincipes voor het verwerken van persoonsgegevens:

    • Rechtmatigheid, eerlijkheid en transparantie;
    • Doelbinding (gegevens alleen gebruiken voor duidelijke en vooraf bepaalde doelen);
    • Dataminimalisatie (niet meer gegevens verzamelen dan nodig);
    • Juistheid (gegevens moeten correct zijn);
    • Opslagbeperking (niet langer bewaren dan nodig);
    • Integriteit en vertrouwelijkheid (gegevens moeten goed beveiligd zijn);

    Daarnaast geldt er een verantwoordingsplicht: organisaties zijn verplicht om te kunnen aantonen dat zij voldoen aan de bovengenoemde basisprincipes. Dit kan bijvoorbeeld middels heldere documentatie, zoals verwerkingsregisters en privacyverklaringen.

    hoe lang mag je gegevens bewaren volgens de AVG?

    De AVG verplicht organisaties om persoonsgegevens niet langer te bewaren dan noodzakelijk is. Gegevens mogen alleen bewaard worden zolang ze relevant zijn voor het doel waarvoor ze zijn verzameld. Voor specifieke gegevens, zoals de financiële administratie, gelden wettelijke bewaartermijnen. Het implementeren van een goed bewaarbeleid helpt je niet alleen om risico’s te beperken, maar versterkt ook het vertrouwen in jouw organisatie.

    Contact

    Wil je meer weten over wat we voor jou of jouw organisatie kunnen betekenen?

    Laat een bericht achter via dit formulier en dan nemen we snel contact met je op.

    Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek. 

    Laat je gegevens achter
    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram