Klaar voor de AVG?

Op 25 mei 2018 treedt de AVG, de Algemene Verordening Gegevensbescherming, in werking. Dat betekent dat alle organisaties die persoonsgegevens van Europese burgers verwerken vanaf die dag meer verplichtingen krijgen. Daarom is het belangrijk dat je als organisatie begrijpt hoe de AVG werkt en wat de consequenties van de nieuwe privacywetgeving zijn. Zodat je je op tijd en voldoende kunt voorbereiden.

Het doel van de Europese privacyverordening – in het Engels General Data Protection Regulation (GDPR) – is om de data van de Europese burgers beter te beschermen. De verordening vervangt de Europese databeschermingsrichtlijn uit 1995, die niet meer aansloot op de huidige informatiemaatschappij. Vanaf de invoering van de AVG geldt dezelfde privacywetgeving in alle EU-lidstaten.

De AVG vraagt om de nodige aanpassingen in de opslag en verwerking van persoonsgegevens. Organisaties die in mei 2018 nog niet aan de strengere eisen voldoen, riskeren een flinke boete. Voor grote bedrijven kan die zelfs oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

Infographic: Raad van de Europese Unie


In de nieuwe wet ligt de nadruk meer op de verantwoordelijkheid van organisaties om zélf aan te kunnen tonen dat zij zich aan de wet houden. Dat ze de juiste technische, administratieve en organisatorische maatregelen hebben genomen om aan de AVG te voldoen. In veel gevallen moet er een speciale Data Protection Officer (DPO) aan worden gesteld, die toezicht houdt op de naleving van de AVG.

In het kort gaat het om de volgende pijlers:

  • Passend gegevensbeschermingsbeleid: worden gegevens voldoende beveiligd?
  • Register van verwerkingsactiviteiten: welke gegevens worden verwerkt met welk doel?
  • Verwerkersovereenkomsten: indien een andere partij (zoals je webbouwer) persoonsgegevens voor je verwerkt, leg je hierover afspraken vast.
  • Procedure bij datalekken: wat gebeurt er na een datalek?
  • Toepassen van privacy by default: zijn alle persoonsgegevens die worden verwerkt noodzakelijk voor het beoogde doel?

Veel organisaties wereldwijd zijn nog onvolledig voorbereid op de invoering van de AVG. Ze weten niet of zij aan de nieuwe Europese privacywetgeving moeten voldoen, hoe deze precies werkt en wat de gevolgen ervan zijn.

 

De Autoriteit Persoonsgegevens (AP) heeft de 10 belangrijkste stappen ter voorbereiding op de nieuwe Europese regels op een rijtje gezet.

Waarover moet je met je websitebouwer in gesprek?

Worden er persoonsgegevens op je website verzameld en opgeslagen in een database?
Als er contactformulieren, nieuwsbriefinschrijvingen en/of registraties op je website plaatsvinden, moet je rekening houden met de nieuwe wetgeving.

Heb je een verwerkersovereenkomst nodig met je webbouwer?
In een verwerkersovereenkomst wordt vastgelegd hoe er wordt omgegaan met persoonsgegevens. Als organisatie heb je een documentatieplicht dat je privacy-proof bent. Door een verwerkersovereenkomst op te stellen spreek je af hoe een partij omgaat met persoonsgegevens die voor jou worden verwerkt.

Staan er op je website formulieren waar de persoonsdata naar andere systemen gaan dan waarvoor het formulier is bedoeld?
Pas op, dit mag vanaf mei niet meer. Bij het formulier moet duidelijk vermeld staan waar de gegevens voor worden gebruikt. Uitgangspunt van de nieuwe privacywet is dat er uitdrukkelijk toestemming nodig is voor het verzamelen en gebruiken van gegevens van burgers.

Gaat je webbouwer een penetratietest uitvoeren?
Als organisatie heb je de verantwoordelijkheid tot passende gegevensbescherming. Met een pentest zorg je ervoor dat je documentatie hebt met betrekking tot de adequate beveiliging.

Staan er persoonsgegevens in je database en downloadt je websitebouwer deze?
Bij het ontwikkelen van een website wordt de database van de productieomgeving – dus met persoonsgegevens – periodiek vaak ook bij ontwikkelaars op hun laptop of computer gezet. Wordt zo'n laptop bijvoorbeeld achtergelaten in een trein, dan is dit een datalek en ben je als opdrachtgever verantwoordelijk. Maak dus afspraken dat persoonsgegevens geanonimiseerd worden voordat ze gedownload worden of stel een verwerkersovereenkomst op.

Onduidelijkheden over de consequenties van de nieuwe wet voor jouw website? Bel of mail ons!