De nieuwe privacywet (AVG)

Per 25 mei 2018 geldt een nieuwe wet binnen Europa: de Algemene verordening gegevensbescherming (AVG). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De nieuwe wet geeft bedrijven een grotere verantwoordelijkheid om de privacy van personen te beschermen.

Bescherming persoonsgegevens

Om te voldoen aan de AVG gelden een aantal aandachtspunten voor werkgevers over de bescherming van persoonsgegevens. Organisaties die niet voldoen aan de nieuwe regels riskeren een boete van maximaal 20 miljoen euro. 
 

• Klantgegevens
Het personeel dient op een juiste manier om te gaan met de gegevens van (potentiële) klanten.

• Personeelsgegevens
Het personeelsdossier dient te voldoen aan de nieuwe eisen.

• Andere persoonsgegevens
Als het bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers en relaties of databases van andere bedrijven) moeten ook deze voldoen aan de regels.
 

Checklist AVG

Voldoet jouw bedrijf aan de nieuwe privacywet? Gebruik deze checklist met negen aandachtspunten voor ondernemers met personeel.
 

1. Check of je gegevens mag verwerken
Je mag alleen persoonsgegevens opslaan en verwerken als je voldoet aan minimaal één van de grondslagen van de AVG. In de meeste gevallen heb je simpelweg alleen toestemming nodig van de personen in kwestie. Voor ’bijzondere’ en strafrechtelijke persoonsgegevens gelden weer extra eisen.

2. Houd je aan de verantwoordingsplicht
Je moet kunnen aantonen dat jouw organisatie aan de AVG voldoet. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Breng de gegevensverwerking van je bedrijf in kaart. Schrijf op welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen, waar je ze opslaat en met wie je ze deelt.

3. Vraag op de juiste manier toestemming
Zorg dat je kunt aantonen dat personen toestemming hebben gegeven aan jouw bedrijf om hun persoonsgegevens op te slaan. Deze toestemming dient op een duidelijke en ondubbelzinnige manier gevraagd te zijn. 

4. Geef personen inzage en rechten
Personen hebben het recht op inzage en het recht op correctie en verwijdering van hun gegevens. Zorg dat dit mogelijk is, bijvoorbeeld in een beveiligde online omgeving (portal). Als personen hun gegevens willen wijzigen, moet je de wijzigingen ook (automatisch) doorgeven aan de instanties waar je de gegevens mee hebt gedeeld.

5. Zorg voor dataportabiliteit
Zorg ervoor dat personen hun gegevens makkelijk kunnen opvragen en door kunnen geven aan een andere organisatie. Bijvoorbeeld bij de overstap naar een andere partij.

6. Maak een data protection impact assessment (DPIA)
Hiermee breng je vooraf de privacyrisico’s in kaart van een bepaalde gegevensverwerking. Daarna neem je maatregelen om de risico’s te verkleinen. Lees meer over het maken van een DPIA (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia) en wanneer dit verplicht is.

7. Stel een verantwoordelijke aan
Zorg dat iemand toezicht houdt op de gegevensverwerking volgens de AVG. Uiteindelijk is dit de verantwoordelijkheid voor als werkgever. In sommige gevallen ben je verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen binnen je bedrijf.

8. Houd je aan de meldplicht datalekken
Deze meldplicht bestond al. Echter, in de nieuwe wetgeving dient ieder datalek dat binnen het bedrijf heeft plaatsgevonden te worden gedocumenteerd.

9. Zorg voor verwerkersovereenkomsten
Als je de gegevensverwerking hebt uitbesteed aan een andere partij, zorg dan dat de overeenkomsten aangepast worden aan de nieuwe eisen van de AVG.
 

Meer informatie

Bekijk de infographic van de Autoriteit Persoonsgegevens: De AVG in een notendop (pdf) (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/avg_in_een_notendop.pdf)

Gebruik de Regelhulp Algemene verordening gegevensbescherming (https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom)om je eigen situatie in kaart te brengen.