In de Algemene verordening gegevensbescherming (AVG) staan de wettelijke verplichtingen die organisaties hebben als het gaat om de verwerking van de persoonsgegevens van hun relaties (klanten, leveranciers en medewerkers). Zo moeten ze onder andere heel goed vastleggen en uitleggen wat zij met de persoonsgegevens doen. En ook hebben ze bepaalde plichten om datalekken te voorkomen.

Op deze pagina

wettelijke grondslagen voor het verwerken van personeelsgegevens

Niet iedere organisatie mag zomaar persoonsgegevens verwerken. Je mag alleen persoonsgegevens verwerken wanneer het echt niet anders kan. Dat betekent dat je er dus een goede reden - ofwel ‘grondslag’ - voor moet hebben. Er zijn zes wettelijke grondslagen vastgelegd in de AVG. Als je niet voldoet aan minimaal een van deze zes wettelijke grondslagen, mag je geen persoonsgegevens verwerken. 

Daarnaast hebben organisaties een documentatieplicht - ofwel een verantwoordingsplicht (accountability) - als het gaat om hun gegevensverwerking. Dit houdt in dat je met documenten moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Je bent verplicht verantwoording af te leggen over je gegevensverwerking wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Bovendien staan er nog een aantal verplichte maatregelen in de AVG waarmee je aan je verantwoordingsplicht (accountability) voldoet:

  • het opstellen van een verwerkingsregister: hierin neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Of je zo'n verwerkingsregister moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt. Maar in de praktijk geldt dat voor bijna alle bedrijven. Dat komt omdat in de meeste organisaties met klanten-, leveranciers- of personeelsgegevens wordt gewerkt. Als mensen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register nodig hebben 

  • het uitvoeren van een Data Protection Impact Assessment (DPIA): voor het verwerken van gegevens met een hoog privacyrisico ben je verplicht een DPIA - ook wel privacy impact assessment genoemd - uit te voeren. Deze analyse brengt de risico’s in beeld, zodat je maatregelen kunt nemen om die risico’s te verkleinen. 

  • een register bijhouden van datalekken die zijn opgetreden

  • aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer je voor deze verwerking toestemming nodig hebt

  • nagaan of je organisatie verplicht is om een functionaris gegevensbescherming (FG) aan te stellen.

beveiligen persoonsgegevens

Je moet persoonsgegevens goed beveiligen. Bepaal welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat de verwerkingen goed beveiligd zijn. Bijvoorbeeld door moderne techniek te gebruiken. Verder moet je ook kijken naar hoe je als organisatie met persoonsgegevens omgaat. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Als je andere partijen inschakelt om persoonsgegevens te verwerken, dan moeten ook deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Ook bij uitbesteding blijf je verantwoordelijk voor de naleving van de AVG. 

voldoen aan je informatieplicht

Mensen van wie je persoonsgegevens verwerkt (zoals je klanten, leverancier en medewerkers) hebben recht op informatie over hun gegevens en wat je organisatie daarmee doet. Zo moet je onder meer de volgende informatie geven:

  • welke persoonsgegevens je verwerkt

  • waarom je dat doet (voor welk specifiek doel)

  • of je die gegevens deelt met of doorverkoopt aan andere organisaties en zo ja, aan welke.

Organisaties geven deze informatie vaak via een online privacyverklaring (privacystatement). Die verklaring moet gemakkelijk te begrijpen en te vinden zijn.

functionaris voor gegevensverwerking (FG)

Sommige organisaties moeten een functionaris voor gegevensverwerking (FG) aanstellen: iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij overheden en publieke organisaties en bij organisaties die:

  • vanuit hun kernactiviteiten op grote schaal individuen volgen (bijvoorbeeld met camera’s)

  • op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is.

melden datalekken

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Voorbeelden van datalekken zijn: een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Heb je een datalek, dan is het belangrijk om na te gaan of je verplicht bent om het datalek te melden. Soms je moet je het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). In het  dossier Acties bij een datalek vind je meer informatie over wat je moet doen bij een datalek.

boete bij overtreding

De Autoriteit Persoonsgegevens kan organisaties een boete opleggen als zij hun verplichtingen rondom gebruik en verwerking van persoonsgegevens niet nakomen. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

Deze handige checklist (pdf) helpt je bij het AVG-proof maken van je organisatie.

Met de Regelhulp AVG van de Autoriteit Persoonsgegevens kun je in tien stappen de impact van de AVG op jouw bedrijf bepalen.