Privacy en de AVG: wat zijn de verplichtingen?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Hierdoor geldt in heel Europa dezelfde wet- en regelgeving voor wat betreft de verwerking van persoonsgegevens. Deze Europese regelgeving zorgt ervoor dat aan bedrijven een bepaalde verantwoordelijkheid wordt opgelegd om aan de desbetreffende privacyregels te voldoen, dit wordt ook wel de verantwoordingsplicht (accountability) genoemd.

De AVG noemt een aantal verplichte maatregelen, welke organisaties dienen te nemen om aan de verantwoordingsplicht te voldoen:

1. Bijhouden register van verwerkingsactiviteiten

Het register van verwerkingsactiviteiten is een register waarin informatie is opgenomen over de persoonsgegevens die in een bepaalde organisatie worden verwerkt. Het bijhouden van een dergelijk register is slechts verplicht indien sprake is van een organisatie met meer dan 250 werknemers. Indien sprake is van een organisatie met minder dan 250 werknemers, is register slechts verplicht indien sprake is van een van de volgende situaties:

  • er is geen sprake van een incidentele verwerking van persoonsgegevens;
  • er worden persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de persoon wiens persoonsgegevens het betreft;
  • er worden bijzondere persoonsgegevens verwerkt.

2. Data Protection Impact Assessment (DPIA) / gegevensbeschermingseffectbeoordeling

In de AVG is opgenomen dat in bepaalde gevallen een DPIA uitgevoerd moet worden. Met een DPIA worden de risico’s van de verwerking van persoonsgegevens voor wat betreft de gevolgen voor de privacy van de desbetreffende persoon in kaart gebracht. Deze maatregel geldt slechts voor gegevensverwerkingen die een hoog privacy-risico opleveren voor personen.

3. Verwerkersovereenkomst

Wanneer een andere partij persoonsgegevens van een bepaalde organisatie verwerkt waarvoor deze organisatieverantwoordelijk is, moet tussen beide een verwerkersovereenkomst worden gesloten. Dit is het geval indien een andere partij bijvoorbeeld de personeels- of salarisadministratie bijhoudt. Wanneer echter persoonsgegevens worden verstrekt aan een andere verwerkingsverantwoordelijke, zoals de belastingdienst, is geen sprake van een verwerker en hoeft ook geen verwerkersovereenkomst te worden gesloten.

4. Meldplicht datalekken

De AVG verplicht organisaties dat zij bij een datalek melding moeten doen bij de AP. Bovendien dient een datalek in sommige gevallen te worden gemeld aan de betrokkene.  Ook moeten organisaties alle datalekken registreren.

5. Toestemming betrokkene

Een organisatie moet aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. De toestemming moet volgens de AVG geïnformeerd en specifiek zijn. Het is onvoldoende om alleen de toestemming vast te leggen, er moet ook blijken op basis van welke informatie deze toestemming is gegeven.

6. Functionaris Gegevensbescherming (FG)

Voor sommige organisaties geldt dat een Functionaris Gegevensbescherming aangesteld moet worden. Dat is degene die toezicht houdt op de toepassing en naleving van de AVG. Deze verplichting wordt opgelegd aan overheden en publieke organisaties, organisaties die op grote schaal individuen volgen of diens activiteiten in kaart brengt (zoals profilering) en organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is (zoals gegevens over iemands ras, godsdienst of medische gegevens).

7. Opstellen privacyverklaring / privacy-rechten betrokkene

Iedere organisatie dient een privacyverklaring op te stellen om te voldoen aan haar informatieplicht. Betrokkenen hebben namelijk het recht om te weten welke gegevens worden verwerkt en met welk doel deze gegevens worden verwerkt. Naast het recht op informatie hebben betrokkenen andere rechten waarmee een organisatie rekening dient te houden.

8. Beveiliging gegevens

Organisaties zijn verplicht de verwerkte persoonsgegevens goed te beveiligen. De organisatie dient aan te tonen dat zij organisatorische en technische beveiligingsmaatregelen hebben genomen om de gegevens te beveiligen.

Wat kan Ruimte in Advies voor u betekenen?

Indien u meer informatie wenst over de AVG-verplichtingen, hoe u aan deze verplichtingen kunt voldoen en met welke privacy-rechten u rekening dient te houden, kunt u contact opnemen met de juristen van Ruimte in Advies!

Mocht u ondersteuning wensen bij het nakijken of opstellen van uw privacyverklaring en/of het nakijken of het opstellen van een verwerkersovereenkomst, ook dan kunnen wij u van dienst zijn.