AVG - Algemene verordening gegevensbescherming

De Algemene verordening gegevensbescherming (AVG), ook wel Europese privacyverordening genoemd, heeft rechtstreekse werking en moet vanaf 25 mei 2018 worden nageleefd. De verordening beschermt de privacy van personen en bevat regels over de manier waarop persoonsgegevens moeten worden verwerkt. De AVG is niet van toepassing op de verwerking van persoonsgegevens door natuurlijke personen bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit.

Samenvatting Algemene verordening gegevensbescherming (AVG)


1. Verwerkingenregister
Veel organisaties (bedrijven en overheid) die persoonsgegevens verwerken, moeten deze verwerking vastleggen in een verwerkingenregister. In een verwerkingenregister wordt in ieder geval vastgelegd:

  • naam en contactgegevens van de verwerkingsverantwoordelijke;
  • welke categorieën van persoonsgegevens worden verwerkt en met welk doel dat plaatsvindt;
  • de categorieën van betrokkenen van wie de persoonsgegevens worden verwerkt;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt (onder meer ontvangers in derde landen of internationale organisaties);
  • van wie de persoonsgegevens zijn verkregen;
  • waar de gegevens zich bevinden en hoe de bescherming van de gegevens is gewaarborgd;
  • de beoogde bewaartermijnen;
  • een algemene omschrijving van de technische en organisatorische beveiligingsmaatregelen.

Voor organisaties met minder dan 250 personen in dienst is een verwerkingenregister niet verplicht, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten betreft.

Ook wanneer een verwerkingenregister niet verplicht is, raden wij aan toch een register op te stellen. Het biedt namelijk een inzicht in de verwerkingen die binnen een organisatie plaatsvinden en het waarom daarvan. Een inzicht dat iedere organisatie moet hebben.

2. Functionaris voor gegevensbescherming
De AVG stelt de invoering van een functionaris voor de gegevensbescherming (FG), in het Engels de Data Protection Officer (DPO), verplicht voor alle publiekrechtelijke organisaties. De plicht geldt ook voor organisaties die regelmatig en stelselmatig observaties op grote schaal uitvoeren en daarbij persoonsgegevens verwerken en organisaties die hoofdzakelijk zijn belast met grootschalige verwerking van bijzondere categorieën persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. De FG heeft een onafhankelijke positie binnen de organisatie, geniet ontslagbescherming en rapporteert rechtstreeks aan de hoogste leidinggevende binnen de organisatie. De FG ziet onder meer toe op de naleving van de AVG en het gegevensbeschermingsbeleid binnen de organisatie en informeert en adviseert over de juiste toepassing van de AVG.

3. Privacy by default en privacy by design
De organisatie moet privacyaspecten van handelingen en processen in beeld hebben en daarbij rekening houden met de eigen privacy of de privacy van anderen. Dit wordt “Privacy by default” genoemd. Van een organisatie wordt in dit kader verlangd dat de bedrijfsprocessen, informatiesystemen en de  producten en diensten zodanig worden ingericht dat daarin van het begin tot het eind rekening wordt gehouden met de privacyaspecten. In het ontwerp van processen en de systemen dient de privacy geïntegreerd te zijn. Dat wordt “Privacy by design” genoemd.

4. Privacy Impact Assessment (PIA)
Als het waarschijnlijk is dat een nieuwe verwerking van persoonsgegevens met hoge risico’s gepaard gaat, dient een gegevensbeschermingseffectbeoordeling (private impact assessment) te worden opgesteld. Dit is met name het geval als er gebruik wordt gemaakt van nieuwe technologieën om de persoonsgegevens te verwerken en als er sprake is van grootschalige verwerking van persoonsgegevens. Als er sprake is van systematische verwerking van persoonsgegevens, gebaseerd op geautomatiseerde verwerking en/of van verwerking van bijzonder gevoelige persoonsgegevens, dient eveneens een PIA te worden uitgevoerd.  Een PIA dient een beschrijving van de verwerking van de persoonsgegevens te bevatten en het doel daarvan. Tevens dient een beoordeling van de noodzaak en proportionaliteit van de verwerking plaats te vinden, alsmede een risico-inventarisatie en een beschrijving van de maatregelen die getroffen moeten worden om met de risico’s om te kunnen gaan.

5. Rechten van de betrokkene onder de Algemene verordening gegevensbescherming (AVG)
De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (de betrokkenen) en biedt middelen om de verwerking van hun persoonsgegevens  te controleren en te beïnvloeden. Lees verderop meer over de rechten van  betrokkenen.

6. Toezicht en boetes
De Nederlandse toezichthouder op de naleving van de AVG is de Autoriteit Persoonsgegevens (AP). De AP heeft uitgebreide bevoegdheden zoals het doen van onderzoek, het opleggen van corrigerende maatregelen en het verstrekken van advies. Voorbeelden van corrigerende maatregelen zijn een “last onder dwangsom” en boetes. De Autoriteit Persoonsgegevens kan zonder waarschuwing vooraf, beboeten. De boete kan oplopen tot € 20 miljoen of 4% van de totale wereldwijde jaaromzet van een onderneming.

Via Vijverberg kunt u een functionaris voor de gegevensbescherming raadplegen of inhuren. Neem daarvoor contact met ons op per mail, of bel met 079 - 3631919.

Advies nodig?

Bel ons: 079-3631919 of stuur een mail. Wij helpen u graag.

Ontvang ons cursusaanbod

Volg ons op social media

Gerelateerde referentieprojecten

Verwerken van persoonsgegevens binnen jeugdhulporganisatie

Verwerken van persoonsgegevens binnen jeugdhulporganisatie

Een organisatie op het gebied van jeugdhulp vraagt zich af op welke grond uit de Algemene verordening gegevensbescherming (AVG) zij persoonsgegevens mag verwerken. Een juridisch adviseur van Vijverberg analyseert de casus, geeft aan welke grondslagen…
Privacycheck personeelsdossiers

Privacycheck personeelsdossiers

Voor een grote overheidsinstelling heeft onze privacyspecialist de daar geldende Regeling bescherming personeelsdossiers getoetst aan de komende Europese Algemene Verordening Gegevensbescherming (AVG). Daarbij is onder meer onderzocht of er niet meer persoonsgegevens worden opgeslagen in…
AVG

Inzet interim-privacyfunctionaris bij grote gemeente in de Randstad

De gemeente Zoetermeer bereidt zich voor op de Europese privacyverordening, Vijverberg zorgt voor een interim-privacyfunctionaris die het project voor implementatie van de AVG op zich neemt en daarnaast de gemeente praktisch adviseert over concrete privacyvraagstukken…

Ontvang onze publicaties

Volg ons op social media