Geplaatst 28-09-23
De Algemene verordening gegevensbescherming (AVG) is de Europese privacywet die op 25 mei 2018 van kracht is gegaan. De AVG ziet op de bescherming van persoonsgegevens. De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken. Persoonsgegevens zijn gegevens die iets zeggen over een persoon. Dit kan bijvoorbeeld gaan over medewerkers, patiënten, burgers maar ook over klanten. De AVG geldt daarom voor vrijwel alle organisaties. Van grote bedrijven en zzp’er tot overheid en zorginstellingen.
De AVG: Europese privacywetgeving
Met de komst van de AVG geldt er één privacywet voor alle landen binnen de Europese Economische Ruimte (EER), in plaatst van allemaal verschillende nationale wetten. Dit maakt het uitwisselen van persoonsgegevens makkelijker en veiliger. Alle landen binnen de EER moeten zich immers aan dezelfde regels houden.
AVG toezichthouders en boetes
Elke lidstaat heeft een onafhankelijke overheidsinstantie verantwoordelijk gemaakt voor het toezicht houden op de toepassing van de AVG. In Nederland is de Autoriteit Persoonsgegevens (AP) opgericht en aangewezen als toezichthouder. De AP is samen met de andere toezichthoudende autoriteiten verplicht om bij te dragen aan de consequente toepassing van de AVG in de gehele Unie en daarbij onderling samen te werken.
Één van de taken van de toezichthouder is het handhavend optreden bij overtredingen. De AP kan dit doen door een boete op te leggen.
Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Hoe de AP de hoogte van boetes voor bedrijven bepaalt, is vastgelegd in de Fining guidelines van de EDPB. Dit geldt ook voor ziekenhuizen en particuliere scholen.
De boetes voor overheidsorganisaties en natuurlijke personen die niet namens een bedrijf handelen, bepaalt de AP met de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.
Versterking en uitbreiding van privacyrechten
De AVG geeft mensen meer grip op hun persoonsgegevens door privacyrechten te versterken en uit te breiden. Organisaties moeten het mogelijk maken dat mensen deze privacyrechten tijdig kunnen uitoefenen. Het gaat om de volgende privacyrechten:
- Het recht op inzage: mensen hebben recht op inzage in de persoonsgegevens die organisaties van hen verwerken.
- Recht op rectificatie (correctie): mensen hebben het recht om organisaties te vragen hun gegevens te corrigeren als deze onjuist zijn.
- Recht op vergetelheid (wissing): mensen hebben het recht om gegevens die niet (meer) van belang zijn, te laten wissen.
- Recht op beperking van de verwerking: menen kunnen vragen om minder gegevens te verzamelen, bijvoorbeeld als er meer gegevens worden gevraagd dan nodig is.
- Recht op overdraagbaarheid (dataportabiliteit): mensen kunnen vragen om hun gegevens door te geven aan een andere organisatie.
- Het recht van bezwaar: mensen kunnen bezwaar maken tegen het gebruik van bepaalde gegevens in specifieke situaties of omdat zij geen direct marketing wensen te ontvangen.
- Het recht op informatie: mensen hebben recht op duidelijke informatie over wat een organisatie met hun persoonsgegevens doet en waarom.
- Mensen hebben het recht niet te worden ontworpen aan geautomatiseerde individuele besluitvorming, waaronder profilering.
Effectief privacymanagement?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.
Waar moet je verder op letten als organisatie?
Organisaties moeten kunnen aantonen dat ze zorgvuldig omgaan met persoonsgegevens en voldoen aan de privacyregels. Deze verantwoordingsplicht kan worden ingevuld door te voldoen aan de volgende verplichte maatregelen uit de AVG:
- een verwerkingsregister bijhouden;
- een data protection impact assessment (DPIA) uitvoeren op risicovolle verwerkingen;
- een register van datalekken bijhouden;
- aantonen dat er daadwerkelijk toestemming is gegeven voor een gegevensverwerking wanneer voor de verwerking toestemming nodig is;
- goed kunnen onderbouwen waarom ervoor gekozen is om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of een Fg verplicht is;
- een externe privacyverklaring opstellen en publiceren.
Verder moeten organisaties:
- verwerkersovereenkomsten sluiten met organisaties die in opdracht van jouw organisatie persoonsgegevens verwerken;
- een intern privacybeleid opstellen;
- passende beveiligingsmaatregelen implementeren.
Bedrijf AVG-proof inrichten
Het AVG-proof inrichten van een organisatie vereist dus de implementatie en naleving van verschillende maatregelen. Het is belangrijk dat privacybeheer daarbij duurzaam wordt georganiseerd binnen de bedrijfsvoering. Privacy moet standaard worden meegenomen bij ontwikkelingen en medewerkers moeten zich bewust zijn van hun verplichtingen bij het verwerken van persoonsgegevens.
Een goed privacybeleid voeren dat hiermee rekening houdt én het voldoen aan alle AVG-verplichtingen is een flinke klus. Gelukkig zijn er tools zoals TrustBound GRC die dit proces vereenvoudigen door alle benodigde ondersteunende functionaliteiten op één plek aan te bieden.
Altijd compliant met TrustBound GRC
TrustBound GRC ondersteunt zowel de ISO 27001-norm als de NIST-kaders. Onze tools ondersteunen je bij het verbeteren van privacy en cybersecurity op een manier die past bij jouw organisatie. Van ISMS-tooling tot een complete GRC-tool en van AVG-software tot een complete DPIA-tool.