De bescherming van persoonsgegevens krijgt steeds meer aandacht. Door de digitalisering zijn veel gegevens bij verschillende organisaties beschikbaar. Het is van belang misbruik van deze persoonsdata te voorkomen.
Daarom is op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Dit is de Nederlandse uitwerking van de General Data Protection Regulation (GDPR).
De GDPR (en daarmee ook de AVG) is het resultaat van een inspanning van de Europese Unie (EU). Doel is binnen de EU een gelijkwaardig hoog beschermingsniveau van persoonsgegevens te garanderen. Ook moet het vrije verkeer van gegevens (binnen de geldende regels) worden gewaarborgd.
De komst van de GDPR heeft gezorgd voor een harmonisatie van wetgeving. Voor 2018 werkten alle EU-lidstaten met eigen nationale wetten op het terrein van gegevensbescherming. Deze regels varieerden sterk. Nu is aan de onduidelijkheid een einde gekomen.
Harmonisatie van Europese wetgeving is belangrijk, maar de komst van de AVG heeft meerdere problemen opgelost. We noemen er drie:
De AVG vervangt de Data Protection Directive (DPD) uit 1995. Deze DPD is opgesteld aan de vooravond van de grote vlucht van internet en digitalisering. De DPD-regels sloten niet meer aan bij de nieuwe realiteit. Op dit terrein is de komst van de AVG een grote stap voorwaarts.
Lange tijd hadden consumenten geen grip op eigen persoonsgegevens. Data werd breed gedeeld, vrijwel zonder mogelijkheid tot correctie of verwijdering. De AVG heeft consumenten / burgers rechten gegeven. Zo is er het recht op toegang tot eigen gegevens, het recht om vergeten te worden, en het recht op dataportabiliteit (het recht om gegevens over te dragen).
Het verleden heeft bewezen dat niet iedere organisatie de verwerking van persoonsgegevens serieus neemt. De AVG maakt het mogelijk partijen verantwoordelijk te stellen voor misstanden. Zo kunnen boetes worden verstrekt aan organisaties die privacyrechten schenden. Het toezicht op het verzamelen, opslaan en gebruik van persoonsgegevens is in Nederland in handen van de Autoriteit Persoonsgegevens.
In de afgelopen jaren is steeds duidelijker geworden wat het belang van de AVG is. De gevolgen van het slordig of onjuist omgaan met persoonsgegevens zijn groot. Een serie van incidenten (nationaal en internationaal) heeft dit duidelijk gemaakt.
Belangrijke redenen waarom de bescherming van persoonsgegevens onmisbaar is:
Voldoen aan de AVG is inmiddels veel meer dan het voldoen aan een wettelijke plicht. Het is een teken dat je als organisatie de belangen van je klanten, leden, relaties en personeel serieus neemt. Het is daarmee een doorlopend aandachtspunt in de bedrijfsvoering geworden.
De AVG brengt verschillende verplichtingen en aandachtspunten met zich mee. Bij AVG-Programma verdelen we deze onder in vier thema’s:
Welke zaken moeten nu geregeld worden? Per thema geven we een aantal voorbeelden.
Een document dat in geen organisatie mag ontbreken is de privacyverklaring. Het is een statement dat op vrijwel iedere website te vinden is. Vanzelfsprekend draait het niet alleen om de aanwezigheid, maar vooral om de inhoud. De lezer moet een helder beeld krijgen van de manier waarop de organisatie met de verwerking van persoonsgegevens omgaat.
Een ander belangrijk juridisch document is de verwerkersovereenkomst. Hierin leg je vast óf en op welke wijze leveranciers namens jouw organisatie persoonsgegevens mogen verwerken.
Het is van groot belang om een veilige verwerking van persoonsgegevens mogelijk te maken. Hiervoor kunnen verschillende ICT-maatregelen worden genomen.
Met behulp van password-managers, firewalls en anti-virussoftware zorg je ervoor dat data niet in verkeerde handen valt.
Daarnaast zijn er op technisch gebied een aantal keuzes die je organisatie moet maken, bijvoorbeeld bij de inzet van cookies op je website. Zijn deze keuzes gemaakt? Dan is het van belang met behulp van een cookiemelding bezoekers in staat te stellen persoonlijke gebruikersvoorkeuren te beheren.
ICT en juridische vastlegging staan niet op zich. Ze volgen het beleid dat je maakt op het terrein van privacy.
Daarbij is het van belang te bedenken dat de AVG je gehele organisatie raakt. Niet alleen de activiteiten die internetgerelateerd zijn.
Binnen je organisatie moeten keuzes worden gemaakt over o.a. autorisatie van medewerkers, het verwijderen van data, procedures bij eventuele datalekken etc.
Voor verschillende organisaties is het hierbij verplicht om een Functionaris Gegevensbescherming aan te stellen.
Ook als alle randvoorwaarden rond privacy geregeld zijn, blijft er een belangrijk aandachtspunt: de eigen medewerkers. Niet zelden komen datalekken of slordige verwerking van persoonsgegevens door een tekort aan kennis bij het personeel. Een AVG training kan dit probleem verhelpen.
Het is ook van belang te kijken naar de veiligheid bij thuiswerken. Is hier duidelijk wat wel en niet is toegestaan? Regelmatige aandacht voor het onderwerp voorkomt problemen.
Je ziet dat er veel verschillende AVG taken zijn voor je organisatie. Belangrijk is dat de vier thema’s doorlopend aandacht krijgen. Je organisatie blijft veranderen, onder andere door de komst van nieuwe leveranciers, systemen en medewerkers.
AVG-Programma helpt je controle te houden over de AVG taken. Voer je de taken goed en met regelmaat uit? Dan kun je met het AVG OK-vignet aan stakeholders laten zien dat je organisatie privacy serieus neemt.
Het AVG-Programma is een online tool met een overzichtelijk stappenplan inclusief uitlegvideo’s. Aan de hand van de stappen doorloop je alle onderdelen van de AVG. Elke stap heeft een duidelijke uitlegvideo en instructies. Ook de juridische documenten die je nodig hebt zitten erbij. In het AVG-Programma vind je geen ingewikkelde juridische termen, maar makkelijke invulvelden, voorbeelden en modelcontracten. Heb je vragen, dan bel je de helpdesk. Die is inbegrepen in het abonnement.
Door de AVG heb je verplichtingen bij het verwerken van persoonsgegevens. Het opvallende aan de AVG-wet is dat je ook moet vastleggen wat je doet met persoonsgegevens. Met AVG-Programma sla je twee vliegen in één klap: 1. Je doorloopt het stappenplan en geeft direct aan hoe de verwerking van persoonsgegevens in jouw organisatie geregeld is. 2. Als je klaar bent zorgt het programma ervoor dat alles automatisch wordt vastgelegd in jouw persoonlijke AVG-Verklaring.
Elke organisatie is verplicht verantwoording af te leggen over de verwerking van persoonsgegevens wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Dat betekent dat je moet kunnen aantonen dat je zaken zoals rechtmatigheid, transparantie, doelbinding en juistheid hebt vastgelegd. Maar bijvoorbeeld ook dat je de juiste technische en organisatorische maatregelen hebt genomen om persoonsgegevens te beveiligen. Je kunt natuurlijk zelf een document maken waarin je dat beschrijft. Maar als je het AVG-Programma gebruikt, kun je een AVG-verklaring opvragen die automatisch wordt samengesteld op basis van wat je hebt ingevuld. Superhandig!
Nee. Alles wordt in begrijpelijke taal uitgelegd. Mocht je er toch niet uitkomen dan nodigen we je graag uit om deel te nemen aan een van de invulsessies, of te bellen met de helpdesk. Leuk weetje: bij het schrijven van het stappenplan is een kinderboekenschrijver betrokken. Juist om ervoor te zorgen dat het voor iedereen makkelijk te begrijpen is.
Veel organisaties willen weten of ze persoonsgegevens mogen opslaan buiten de Europese Unie. Hier lees je de regels. Lees meer
Uit een steekproef van Stichting AVG blijkt dat bijna 30% van de geanalyseerde websites het privacy statement op de website niet op orde heeft. Lees meer
Travelnauts organiseert al meer dan 15 jaar bijzondere reizen voor gezinnen met kinderen. Directeur Simone Jansen vertelt hoe zij omgaan met privacy en de AVG. Lees meer
