Is jouw bedrijf al klaar voor de AVG?

Kennis

Op 25 mei 2018 is het zover: dan treedt de Algemene Verordening Gegevensbescherming (AVG), of in het Engels GDPR (General Data Protection Regulation) in werking. Vanaf dan geldt dezelfde privacywetgeving in de hele Europese Unie. Is jouw bedrijf er al klaar voor?

Voor wie geldt de AVG?

Deze nieuwe Europese privacywetgeving geldt voor alle bedrijven en instellingen die persoonsgegevens verwerken. Het gaat dus niet alleen om grote bedrijven, zoals bijvoorbeeld Facebook. Ook kleine bedrijven en zzp’ers moeten zich aan de AVG houden, want ook de meest gangbare gegevens vallen onder het bereik van deze nieuwe wet. Denk hierbij bijvoorbeeld aan opgeslagen afspraken en telefoonnummers van klanten.

Wat verandert er?

De AVG is aanzienlijk strenger dan zijn voorganger, de Wet bescherming persoonsgegevens (Wbp). Bedrijven die persoonsgegevens verwerken krijgen onder de AVG meer verplichtingen, wat de positie van betrokkenen (de mensen van wie de gegevens worden verwerkt) versterkt. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Daarnaast moet je als bedrijf meer dan ooit laten zien dat je je aan de wet houdt.

  1. Privacyverklaringen moeten nóg transparanter. Je moet in eenvoudige taal precies uitleggen wat je doet met persoonlijke gegevens.
  2. Alle datalekken moeten intern worden gedocumenteerd. Onder de AVG moet je alle datalekken intern documenteren, dus óók datalekken die niet gemeld hoeven te worden aan de toezichthouder.
  3. Met alle leveranciers en afnemers moet een verwerkersovereenkomst worden afgesloten.Hierin maak je specifieke afspraken over de omgang met persoonlijke gegevens.
  4. Mogelijk heb je een Functionaris voor de Gegevensbescherming (FG) nodig. Dit is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Verwerk je op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens? Dan is het aanstellen van een FG verplicht.
  5. Zitten er risico’s aan een verwerking? Dan moet je een Privacy Impact Assessment (PIA) uitvoeren. Dit is een uitgebreid onderzoek om privacyrisico’s in kaart te brengen en deze zo veel mogelijk weg te nemen. Pas nadat een PIA is uitgevoerd en de resultaten zijn geïmplementeerd, mag je de risicovolle verwerking uitvoeren.
  6. Nieuw zijn Privacy by design en Privacy by default.Kort gezegd betekent dit dat de standaardinstellingen van een nieuwe dienst zo privacyvriendelijk mogelijk moeten zijn.
  7. Boetes worden gigantisch. De maximale boete per overtreding is nu 900.000 euro. Dit verandert met de komst van de AVG naar 20 miljoen euro, of 4% van de wereldwijde jaaromzet.

Europese privacybescherming

Er geldt straks nog maar één privacywet in de EU, in plaats van 28 verschillende nationale wetten. Ben je in meerdere EU-landen actief? Dan ga je er in meerdere opzichten op vooruit. Je hebt minder administratie- en nalevingskosten, doordat onder de AVG in alle lidstaten dezelfde wetgeving geldt. Ook heb je meer rechtszekerheid en voorkomt de AVG dat bedrijven het in het ene land makkelijker hebben dan in het andere.

Wil je weten wat jij binnen je bedrijf nu alvast kunt doen? Lees dan ons stappenplan, zodat je straks helemaal klaar bent voor de AVG.