Ben jij nog steeds AVG-proof?
De stand van zaken na 4 jaar AVG.
In mei 2018 werd de Algemene Verordening Gegevensbescherming (AVG) in Nederland ingevoerd. Een Europese wet om ervoor te zorgen dat persoonsgegevens voortaan beter werden beschermd, ook wel de privacywet genoemd. Destijds was er veel rumoer. Toen de AVG (in het Engels: GDPR) werd ingevoerd, werd de term ‘GDPR’ zelfs meer gegoogeld dan ‘Beyonce’. Inmiddels zijn we alweer 4 jaar verder. Is jouw organisatie nog steeds compliant? Weet jij wat je moet doen met een datalek? Of heb je toch nog wel behoefte aan een opfriscursus of privacy-awareness-training? Lees meer in deze blog.
Hoe zat het ook al weer?
De AVG gaat over de bescherming van persoonsgegevens. Het is een Europese verordening die in de hele EU van toepassing is. Hierdoor gelden sinds 25 mei 2018 in de hele EU vrijwel dezelfde regels over de bescherming van persoonsgegevens.
De AVG heeft een groot toepassingsbereik. De AVG is namelijk van toepassing op de ‘verwerking’ van ‘persoonsgegevens’. Zowel het begrip ‘verwerking’ als het begrip ‘persoonsgegevens’ is erg breed. Een persoonsgegeven is alle informatie over ‘een geïdentificeerde of identificeerbare natuurlijke persoon’. Denk aan iemands haarkleur, naam, e-mailadres, 06-nummer, maar ook bijvoorbeeld iemands IP-adres. ‘Verwerken’ is vrijwel alles wat je met een persoonsgegeven kan doen. Zoals kopiëren, opslaan, verwerken in een excel-document en e-mailen.
Wat was nieuw?
Voorafgaand aan de AVG waren in Nederland en in de andere EU-lidstaten al wetten over persoonsgegevens. Maar deze waren allemaal verschillend. De invoering van de AVG/GDPR zorgde ervoor dat de privacyregels in de hele EU vrijwel hetzelfde zijn. Rechters van verschillende lidstaten zullen dan ook ongeveer hetzelfde oordelen over vergelijkbare situaties.
Na 4 jaar AVG is er volop rechtspraak. Men weet de AVG te vinden, bijvoorbeeld met een beroep op artikel 15 AVG (het inzagerecht). Een ieder heeft het recht om een verzoek te doen bij een verwerkingsverantwoordelijke om inzage te krijgen in zijn/haar persoonsgegevens. Uit de rechtspraak volgt dat artikel 15 AVG steeds vaker wordt ingezet en soms (onterecht) ook in het kader van een fishing expedition.
Ook bestaan door de AVG/GDPR vergaande verplichtingen van de verwerkingsverantwoordelijken en is er een uitgebreide boetebevoegdheid van nationale toezichthouders. In Nederland is dat de Autoriteit Persoonsgegevens.
Registreren en informeren
De ‘verwerkingsverantwoordelijke’ is de organisatie die het ‘doel en de middelen’ van een verwerking bepaalt. Dat kan dus jouw bedrijf zijn. Bijvoorbeeld: run je een restaurant en verzamel je persoonsgegevens van je klanten voor reserveringen en voor e-mailnieuwsbrieven? Je verwerkt ook vast gegevens van je werknemers, en van relaties, leveranciers of samenwerkingspartners. In al die gevallen ben je ‘verwerkingsverantwoordelijke’.
Een belangrijke verplichting van de verwerkingsverantwoordelijke is het bijhouden van een register van verwerkingen. Hierin wordt o.a. bijgehouden welke verwerkingen worden gedaan, voor welk doel, welke beveiligingsmaatregelen worden getroffen en welke soort gegevens zijn betrokken. Daarnaast is het belangrijk om datalekken bij te houden en zo nodig te melden bij de toezichthouder en betrokkenen. Een andere zeer belangrijke verplichting is om betrokkenen te informeren over de verwerking. Wat gebeurt er met de gegevens? Waarom worden die verwerkt? Hoe lang worden deze bewaard? Ga zo maar door. Antwoorden op dit soort vragen kunnen worden opgenomen in de ‘privacyverklaring’.
Tot slot
Wil jij weten hoe het ook al weer zat voor jouw bedrijf? Wil jij laten checken of jij nog steeds compliant bent? Heb jij of jouw personeel behoefte aan een opfriscursus of privacy awareness-training? Of wil je weten hoe je moet omgaan met een datalek? Neem dan contact op met Menno Loos of één van onze andere experts.
Liever direct contact opnemen?
Schroom niet, bel of mail ons vandaag nog
Op de hoogte blijven?
Laat je e-mailadres achter en ontvang als eerste onze laatste blogs en updates in je mailbox.