De Europese Algemene verordening gegevensbescherming (AVG) vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Er komt één uniforme privacywetgeving voor de hele EU. ‘De AVG is van toepassing op geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen, of die bestemd zijn om daarin te worden opgenomen.’
De AVG schept nieuwe verplichtingen voor gegevensverwerkers. U bent bijvoorbeeld al een verwerker van persoonsgegevens op het moment dat u persoonsgegevens (denk aan een kopie van het identiteitsbewijs) van uw personeel opneemt in uw administratie of gegevens van klanten bewaart. Het gaat ook om gegevens die worden uitbesteed aan bijvoorbeeld uw salarisadministratie. De verordening is dus ook van toepassing op OZP’ers en kleine ondernemers.
Documentatieplicht
De AVG zorgt er onder andere voor dat privacyrechten worden versterkt en uitgebreid en dat organisaties meer verantwoordelijkheden krijgen. De belangrijkste verantwoordelijkheid is dat organisaties zelf moeten kunnen aantonen dat zij zich aan de AVG houden, de zogenaamde documentatieplicht. Dit betekent in de praktijk dat er documenten aanwezig moeten zijn die aantonen dat de juiste organisatorische en technische maatregelen zijn om persoonsgegevens te beschermen.
OnderhoudNL heeft het volgende model voor u beschikbaar:
> AVG-verklaring (met daarin een model verwerkersovereenkomst, geheimhoudingsverklaring en een privacybeleid)
Boete
Een goede documentatie van de soort persoonsgegevens en het doel daarvan is ook vereist op het moment dat een betrokkene zijn of haar gegevens wilt inzien, corrigeren of wijzigen. De Autoriteit Persoonsgegeven krijgt de mogelijkheid om bij een misstand direct een boete op te leggen in plaats van bijvoorbeeld eerst een last onder dwangsom. De boetes kunnen fors hoger zijn dan nu het geval is. De AVG staat lost van de meldplicht datalekken, waarover wij eerder uitleg hebben gegeven in ons artikel.
Waar moet u beginnen?
Op de website van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft een stappenplan gemaakt waarmee u zich in 10 stappen kunt voorbereiden op de AVG. Dit zijn de stappen:
- Bewustwording
- Rechten van betrokkenen
- Overzicht verwerkingen
- Data protection impact assessment (DPIA)
- Privacy by desgin & privacy by default
- Functionaris voor de gegevensbescherming (FG)
- Meldplicht datalekken
- Verwerkersovereenkomsten
- Leidende toezichthouder
- Toestemming