In de Algemene verordening gegevensbescherming (AVG) staan de wettelijke verplichtingen die organisaties hebben als het gaat om de verwerking van de persoonsgegevens van hun relaties (klanten, leveranciers en medewerkers). Zo moeten ze onder andere heel goed vastleggen en uitleggen wat zij met de persoonsgegevens doen. En ook hebben ze bepaalde plichten om datalekken te voorkomen.
Op deze pagina
- wettelijke grondslagen voor het verwerken van persoonsgegevens
- beveiligen persoonsgegevens
- voldoen aan je informatieplicht
- functionaris voor gegevensverwerking (FG)
- melden datalekken
- boete bij overtreding
wettelijke grondslagen voor het verwerken van personeelsgegevens
Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Je mag alleen persoonsgegevens verwerken wanneer het echt niet anders kan. Dat betekent dat je er dus een goede reden - ofwel ‘grondslag’ - voor moet hebben. Er zijn zes wettelijke grondslagen vastgelegd in de AVG. Als je niet voldoet aan minimaal een van deze zes wettelijke grondslagen, mag je geen persoonsgegevens verwerken.
Daarnaast hebben organisaties een documentatieplicht - ofwel een verantwoordingsplicht (accountability) - als het gaat om hun gegevensverwerking. Dit houdt in dat je met documenten moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Je bent verplicht verantwoording af te leggen over je gegevensverwerking wanneer de Autoriteit Persoonsgegevens daar om vraagt.
Er staan een aantal verplichte maatregelen in de AVG waarmee je aan je verantwoordingsplicht (accountability) voldoet:
-
het opstellen van een verwerkingsregister: hierin neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Of je zo'n verwerkingsregister moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt. Maar in de praktijk geldt dat voor bijna alle bedrijven. Dat komt omdat in de meeste organisaties met klanten-, leveranciers- of personeelsgegevens wordt gewerkt. Als mensen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register nodig hebben
-
het uitvoeren van een Data Protection Impact Assessment (DPIA): voor het verwerken van gegevens met een hoog privacyrisico ben je verplicht een DPIA - ook wel privacy impact assessment genoemd - uit te voeren. Deze analyse brengt de risico’s in beeld, zodat je maatregelen kunt nemen om die risico’s te verkleinen.
-
een register bijhouden van datalekken die zijn opgetreden
-
aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer je voor deze verwerking toestemming nodig hebt
-
nagaan of je organisatie verplicht is om een functionaris gegevensbescherming (FG) aan te stellen.
Deze handige checklist (pdf) helpt je bij het AVG-proof maken van je organisatie.
beveiligen persoonsgegevens
Je moet persoonsgegevens goed beveiligen. Bepaal welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat de verwerkingen goed beveiligd zijn. Bijvoorbeeld door moderne techniek te gebruiken of de beveiliging af te stemmen op het soort of aantal gegevens dat je verwerkt. Verder moet je ook kijken naar hoe je als organisatie met persoonsgegevens omgaat. Wie heeft bijvoorbeeld toegang tot welke gegevens?
Als je andere partijen inschakelt om persoonsgegevens te verwerken, dan moeten ook deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Je moet met een verwerker een verwerkersovereenkomst sluiten waarin je (onder andere) dit punt goed vastlegt. Ook bij uitbesteding blijf je verantwoordelijk voor de naleving van de AVG.
voldoen aan je informatieplicht
Mensen van wie je persoonsgegevens verwerkt (zoals je klanten, leveranciers en medewerkers) hebben recht op informatie over hun gegevens en wat je organisatie daarmee doet. Zo moet je onder meer de volgende informatie geven:
-
welke persoonsgegevens je verwerkt
-
waarom je dat doet (voor welk specifiek doel)
-
of je die gegevens deelt met of doorverkoopt aan andere organisaties en zo ja, aan welke.
Organisaties geven deze informatie vaak via een (online) privacyverklaring (privacystatement). Zo’n verklaring moet voldoen aan de vereisten van de AVG en gemakkelijk te begrijpen en te vinden zijn.
functionaris voor gegevensverwerking (FG)
Sommige organisaties moeten een functionaris voor gegevensverwerking (FG) aanstellen: iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij overheden en publieke organisaties en bij organisaties die:
-
vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld met camera’s)
-
op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is.
melden datalekken
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Voorbeelden van datalekken zijn: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Heb je een datalek, dan is het belangrijk om na te gaan of je verplicht bent om het datalek te melden. Soms moet je het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Op Autoriteitpersoonsgegevens.nl vind je meer informatie over wat je moet doen bij een datalek.
boete bij overtreding
De Autoriteit Persoonsgegevens (AP) kan organisaties een boete opleggen als zij hun verplichtingen rondom gebruik en verwerking van persoonsgegevens niet nakomen. Afhankelijk van de overtreding kan de boete oplopen tot maximaal € 10 miljoen voor het niet nakomen van de AVG-verplichtingen of maximaal € 20 miljoen voor het overtreden van de AVG-beginselen of grondslagen.
tip
Met de interactieve Regelhulp AVG van de Autoriteit Persoonsgegevens kun je in tien stappen de impact van de AVG op jouw bedrijf bepalen.
