De AVG, Algemene Verordening Gegevensbescherming (of GDPR), is van toepassing op alle organisaties met activiteiten binnen de EU. Voldoen aan de AVG kan een behoorlijke impact hebben op organisaties maar bieden ook een kans om de informatiehuishouding / beveiliging op orde te krijgen.

Heeft u de AVG nog niet gerealiseerd? Dan bieden wij u een stappenplan voor de implementatie.

Wat houdt de AVG in?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wetgeving die is ontworpen om de privacyrechten van individuen binnen de Europese Unie (EU) te versterken en te harmoniseren. De AVG legt organisaties verplichtingen op met betrekking tot de verzameling, verwerking, opslag en bescherming van persoonsgegevens. Het doel van de AVG is om individuen meer controle te geven over hun persoonlijke gegevens en om de bescherming van gegevens op een consistent niveau binnen de EU te waarborgen.

Onder de AVG moeten organisaties transparant zijn over hoe zij persoonsgegevens verzamelen en gebruiken, en moeten zij passende technische en organisatorische maatregelen nemen om deze gegevens te beschermen. De wetgeving biedt individuen ook rechten, zoals het recht op toegang tot hun gegevens, het recht op correctie of verwijdering van onjuiste gegevens, en het recht om bezwaar te maken tegen bepaalde vormen van gegevensverwerking.

Waar komt de AVG vandaan?

De AVG is een verordening van de Europese Unie en is op 25 mei 2018 in werking getreden. De AVG verving de oude Richtlijn 95/46/EG, ook wel bekend als de Data Protection Directive, die sinds 1995 van kracht was. De behoefte aan de AVG ontstond door de snelle technologische ontwikkelingen en de groei van de digitale economie, wat leidde tot een verhoogde behoefte aan uniforme regelgeving rondom gegevensbescherming binnen de EU.

De AVG is een direct werkende verordening, wat betekent dat deze zonder nationale wetgeving in alle EU-lidstaten van kracht is. Dit in tegenstelling tot de vorige richtlijn, die door de lidstaten omgezet moest worden in nationale wetten. De AVG was bedoeld om de verschillende nationale wetten te harmoniseren en zo een consistent en hoog niveau van gegevensbescherming in de hele EU te garanderen.

Wie valt onder de AVG?

De AVG is van toepassing op alle organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht of de organisatie zich binnen of buiten de EU bevindt. Dit betekent dat zelfs organisaties buiten de EU die goederen of diensten aanbieden aan, of het gedrag volgen van, individuen binnen de EU, aan de AVG moeten voldoen.
Naast commerciële bedrijven zijn ook non-profitorganisaties, overheidsinstellingen en andere publieke en private organisaties die persoonsgegevens verwerken, verplicht om de AVG na te leven. In feite geldt de AVG voor elke organisatie die persoonlijke gegevens verwerkt, zoals namen, adressen, e-mailadressen, IP-adressen, locatiegegevens, en meer.

Welke gegevens vallen wel en niet onder de AVG?

Onder de AVG vallen alle gegevens die direct of indirect herleidbaar zijn tot een identificeerbare natuurlijke persoon. Dit omvat onder andere:

  • Identificerende gegevens: zoals naam, adres, geboortedatum, en BSN.
  • Contactgegevens: zoals e-mailadres en telefoonnummer.
  • Financiële gegevens: zoals bankrekeningnummer en salarisinformatie.
  • Gezondheidsgegevens: zoals medische dossiers en verzekeringsinformatie.
  • Online identificatiegegevens: zoals IP-adressen en cookies.

Niet onder de AVG vallen:

  • Anonieme gegevens: Gegevens die volledig geanonimiseerd zijn en niet herleidbaar zijn tot een individu vallen niet onder de AVG. De anonimisatie moet onomkeerbaar zijn; als er een kans bestaat dat gegevens weer herleid kunnen worden tot een individu, zijn ze nog steeds onderhevig aan de AVG.
  • Gegevens van overleden personen: De AVG is alleen van toepassing op levende personen; persoonsgegevens van overledenen vallen buiten de scope van de AVG.

Wat betreft geanonimiseerde gegevens, vereist de AVG dat organisaties ervoor zorgen dat de anonimisatie onomkeerbaar is. Dit betekent dat alle identificerende informatie volledig en permanent verwijderd moet worden, zodat de persoon in kwestie nooit meer kan worden geïdentificeerd, zelfs niet met behulp van aanvullende gegevens.

Wat zijn de belangrijkste AVG principes?

De AVG rust op zes fundamentele principes die organisaties moeten volgen bij het verwerken van persoonsgegevens:

  1. Rechtmatigheid, behoorlijkheid en transparantie: Gegevens moeten op een eerlijke, rechtmatige en transparante manier worden verwerkt.
  2. Doelbinding: Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden en mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden.
  3. Dataminimalisatie: De verzamelde gegevens moeten toereikend, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt.
  4. Nauwkeurigheid: Gegevens moeten accuraat zijn en waar nodig bijgewerkt worden. Onjuiste gegevens moeten worden gewist of gecorrigeerd.
  5. Opslagbeperking: Gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt.
  6. Integriteit en vertrouwelijkheid: Gegevens moeten worden beveiligd tegen ongeoorloofde of onwettige verwerking, verlies, vernietiging of beschadiging, door middel van passende technische en organisatorische maatregelen.

Wat is het verschil tussen de AVG en andere wetgevingen?

AVG vs. GDPR

De AVG en GDPR zijn in feite dezelfde wetgeving, waarbij "AVG" de Nederlandse benaming is en "GDPR" de Engelse benaming (General Data Protection Regulation).

AVG vs. WBP: 

De Wet Bescherming Persoonsgegevens (WBP) was de Nederlandse wet die de richtlijn 95/46/EG implementeerde en die de rechten en plichten van organisaties en personen rondom de bescherming van persoonsgegevens regelde. De AVG verving de WBP in 2018, waarbij de regels strenger werden en de reikwijdte werd uitgebreid, onder andere door de invoering van nieuwe rechten zoals het recht op gegevensoverdraagbaarheid.

AVG vs. UAVG:

De Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) is een Nederlandse wet die de AVG aanvult en specificeert. De UAVG biedt aanvullende regels en uitzonderingen op basis van nationale context, zoals de minimumleeftijd voor toestemming (16 jaar in Nederland) en specifieke regels voor gegevensverwerking in de context van arbeid, gezondheidszorg, en journalistiek.

AVG Certificaat behalen, wat is dat?

Een AVG-certificaat is een erkenning die aangeeft dat een organisatie of verwerkingsactiviteit voldoet aan de eisen van de AVG. Hoewel de AVG zelf niet expliciet vraagt om certificering, moedigt het organisaties aan om certificeringen te gebruiken als een manier om te bewijzen dat ze voldoen aan de vereisten van de wet. Deze certificaten worden uitgegeven door geaccrediteerde certificeringsinstanties en kunnen helpen om het vertrouwen van klanten en partners te vergroten.Heeft u de AVG nog niet gerealiseerd? Dan bieden wij u een stappenplan voor de implementatie.

Aanpak voor de implementatie

Om de AVG binnen uw organisatie te implementeren kan het volgende stappenplan worden doorlopen.

  1. Benoem rollen en verantwoordelijkheden;
  2. Identificeer en registreer verwerkingen;
  3. Sluit verwerkersovereenkomsten af (waar nodig);
  4. Realiseer voorzieningen voor de rechten van betrokkenen;
  5. Voer een DPIA uit indien nodig;
  6. Neem maatregelen voor een adequate beveiliging.

Wilt u weten wat de AVG is?

1. Benoem rollen en verantwoordelijkheden

De AVG stelt het hebben van een functionaris gegevensbescherming (FG) verplicht voor organisaties groter dan 250 personen. Maar ook voor organisaties met grootschalige (of intensieve) verwerking van persoonsgegevens.

Als organisatie bent u volgens de AVG verplicht een FG te benoemen als u op grote schaal individuen volgt of bijzondere persoonsgegevens van individuen verwerkt. Voor beide aspecten geldt dat dit een kernactiviteit van de organisatie moet zijn (bron). Denk hierbij aan:

  • Het aantal betrokkenen (de mensen van wie u gegevens verwerkt);
  • De hoeveelheid gegevens die u verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

Een FG kan intern benoemd worden maar kan ook extern belegd worden. Verder kunt u de FG ook als een team inrichten. Voor grotere organisaties is het verder aan te bevelen om taken van de FG te delegeren naar de verschillende organisatieonderdelen middels zogeheten coördinatoren.

De verantwoordelijkheid van de FG is om als toezichthouder de naleving van de AVG te waarborgen. Taken die hierbij uitgevoerd worden zijn uitvoering/bijwonen van PIA’s (zie stap 2), beoordeling en melding van datalekken (zie stap 4), en de controle op naleving door audit en rapportage.

Verder dient u te bepalen wie uw toezichthouder is. Voor organisaties in Nederland zal dit vrijwel altijd de AP zijn, maar als u internationaal actief bent in verschillende landen dan kan dit verschillen. Denk hierbij aan de vestigingslocatie van het hoofdkantoor of de plek waar grootschalige verwerking van persoonsgegevens plaatsvindt. Is dit voor uw organisatie niet direct duidelijk dan kunt u hiervoor contact opnemen met de AP.

Binnen uw organisatie zal u verder verantwoordelijken willen benoemen voor de datasets waarin persoonsgegevens opgeslagen / verwerkt worden. Deze ‘systeemhouders’ worden in stap 2 geïdentificeerd.

En natuurlijk heeft het management van de organisatie een verantwoordelijkheid in het aansturen en bevorderen van alle activiteiten benodigd om te kunnen voldoen aan de AVG.

Voorbeelden van organisaties met een intensieve of omvangrijke bewerking van persoonsgegevens zijn:

  • Onderzoeksbureau die in opdracht enquêtes verstuurd en verwerkt met betrekking tot voedingspatronen en gezondheid;
  • Een reisbureau dat internationale reizen boekt;
  • Ziekenhuizen, onderwijsinstellingen, gemeenten etc.

Tip

Om uw informatiehuishouding (en in het verlengde daarvan de beveiliging) op orde te krijgen is een inventarisatie van alle informatiesystemen sterk aan te bevelen.

Tip

Weet u niet waar te beginnen? Maak dan eventueel gebruik van eventueel reeds beschikbare informatie:

  • Bestaand beleid;
  • Lijst van systeemhouders;
  • Opdrachten / klantcontracten;
  • Overzichten van informatiestromen / informatiearchitectuur; en
  • Auditrapportages.

Voorbeelden van typische verwerkingen in organisaties:

  • HR: personeelsadministratie inclusief gegevens van sollicitanten;
  • CRM: contactinformatie van klanten / leads (bijvoorbeeld afkomstig van webformulieren;
  • Support / helpdesk: contactinformatie van gebruikers/klantcontacten;
  • Inkoop/administratie: persoonsinformatie van leveranciers, opdrachtgevers en andere dienstverleners (verzekeraars etc.); en
  • Saas/cloud applicaties: gebruikersgegevens (ten behoeve van identity management).

Base27 biedt complete ondersteuning voor de AVG

2. Identificeer en registreer verwerkingen

Vervolgens is het zaak om de opslag/verwerking van persoonsgegevens door uw organisatie te identificeren. Dit kunt u doen aan de hand van gebruikte informatiesystemen of aan de hand van verwerkingsactiviteiten (processen). De keuze wordt hierbij vooral bepaald door het aantal gebruikte informatiesystemen alsook de aard en omvang /complexiteit van de organisatie.

Kiest u voor de aanpak via informatiesystemen dan dient u daarbij ook de verwerkingen in kaart te brengen.

Voor elk van de verwerkingen dient u de verantwoordelijke, het doel, de betrokkenen, de gebruikte persoonsgegevens en de verwerkers in kaart te brengen alsook de termijn waarop de gegevens vernietigd worden. Bedenk hierbij dat de gebruikte gegevens proportioneel moeten zijn t.a.v. het doel van de verwerking.

 

3.  Afsluiten verwerkersovereenkomsten

Worden de gegevens doorgegeven aan derden (verwerkers) dan dient u met deze partijen een overeenkomst af te sluiten waarbij de privacyregels gewaarborgd blijven. Dit kan – en bij voorkeur – op basis van een verwerkersovereenkomst. Een verwerkersovereenkosmt legt vast met welk doel de gegevens verwerkt mogen worden en welke verantwoordelijkheden de verwerker hierbij heeft. De overeenkomst legt ook een mogelijke boete op indien de verwerker in gebreke blijft.

Een dergelijke boete (mogelijk oplopend tot miljoenen als gevolg van de AVG) kan disproportioneel zijn voor de verwerker. Afhankelijk van de omvang en type verwerking kan daarom ook gedacht worden aan een privacystatement van de verwerker, indien dit statement voldoende invulling geeft aan de vereiste privacyregels. De verwerker wordt daarbij natuurlijk geacht adequaat invulling te geven aan dit statement.

Een alternatief is ook om de verwerker dezelfde eisen aan privacy en beveiliging op te leggen als die u als verantwoordelijke hanteert voor de verwerking van persoonsgegevens. U krijgt dan echter ook de plicht om de naleving hierop te controleren door middel van audits en / of rapportages. En u zult periodiek de afspraken moeten evalueren.

4. Maatregelen voor rechten van betrokkenen

Om de rechten van betrokkenen te waarborgen zult u een aantal maatregelen moeten treffen. Het gaat hierbij met name om:

  • Toestemming en transparante informatie en communicatie:
    • Opstellen privacystatement voor op de website waarbij doel en gebruik van persoonsgegevens benoemt worden;
    • Vastlegging van toestemming voor gebruik persoonsgegevens;
    • In contracten eenduidig doel en verwerking opnemen van gebruikte persoonsgegevens;
  • Inzage in doel en verwerkingen van gegevens  plus beperking van gebruik van de gegevens tot het doel van de verwerking:
    • Mogelijkheid bieden tot inzage in doel en verwerking van gegevens van betrokkene. Dit kan op basis van het verwerkingsregister waarbij u de betrokkene kunt informeren over de verwerkingen die met/voor de betreffende doelgroep uitgevoerd worden;
  • Correctie en/of verwijdering van gegevens en kennisgeving van verwijdering:
    • Mogelijkheid bieden voor betrokkene om correctie of verwijdering van persoonsgegevens te realiseren. Denk aan mailingsystemen met een persoonlijk profiel en een unsubscribe optie;
    • Hanteren van bewaartermijnen. Zo is bijvoorbeeld de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure;
  • Beperking van overdracht van gegevens aan anderen, anders dan noodzakelijk voor het doel van de verwerking;
  • Mogelijkheid tot bezwaar en  optie tot geen automatische verwerking:
    • Minimaal contactgegevens op de website;
    • Cookie consent instellen (mogelijkheid om geen cookies te bewaren bij gebruik van de website) etc.

5.  Uitvoeren van een DPIA

Ook dient u zichzelf de vraag te stellen of voor de betreffende verwerkingen één of meerdere DPIA 's uitgevoerd moeten worden. Een DPIA is een Data Protection Impact Assessment en is feitelijk een risicoanalyse met als scope de verwerking. Een DPIA dient altijd uitgevoerd tenzij dit:

  • Met zekerheid geen hoog privacyrisico oplevert;
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd;
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd (tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is);
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

Indien u een DPIA dient uit te voeren dan kunt u daar bijvoorbeeld de ondersteuning van Base27 voor gebruiken.

6. Maatregelen voor informatiebeveiliging

Tot slot dient u de informatiebeveiliging van de systemen waarop persoonsgegevens opgeslagen/verwerkt worden op orde te hebben of te brengen. Om dit te doen kunt u zich de volgende vragen stellen:

  • Is er beleid m.b.t. informatiebeveiliging?
  • Voeren we regelmatig  risicoanalyses uit om onze beveiliging op orde te houden? En nemen we maatregelen om de risico’s te mitigeren?
  • Controleren we de effectiviteit van de maatregelen en stellen we zo nodig bij?
  • Voeren we een risicoanalyse en/of een PIA uit bij nieuwe projecten/veranderingen?
  • Zijn onze medewerkers bewust van de risico’s die gepaard gaan met de informatiebeveiliging/ privacybescherming? En zijn zij op de hoogte van de maatregelen/regels die hierbij van toepassing zijn?
  • Hebben we een procedure voor het melden van datalekken?

Is dit allemaal in orde? Gefeliciteerd: u voldoet de AVG!