Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG geldt voor alle organisaties in de Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG zorgt onder meer voor een betere bescherming van persoonsgegevens en geeft organisaties meer verantwoordelijkheden op het gebied van privacy. Wat betekent de verordening voor uw organisatie?
Persoonsgegevens
Centraal in de AVG staat het begrip persoonsgegevens. Persoonsgegevens betreffen alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, aan de hand van bijvoorbeeld een naam, een identificatienummer, locatiegegevens, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Dit kan ook een foto of vingerafdruk zijn.
Er wordt een onderscheid gemaakt tussen gewone, bijzondere en strafrechtelijke persoonsgegevens. De AVG verbiedt het verwerken van bijzondere en strafrechtelijke persoonsgegevens. Bijzondere gegevens zijn gegevens over ras, etnische afkomst, seksuele gerichtheid, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, medische gegevens, et cetera. Strafrechtelijke persoonsgegevens betreffen onder andere strafrechtelijke veroordelingen. Voor het verbod op verwerking van bijzondere en strafrechtelijke persoonsgegevens gelden uitzonderingen, maar daarvoor komt uw organisatie niet snel in aanmerking. Gewone persoonsgegevens zijn alle persoonsgegevens die geen bijzondere of strafrechtelijke persoonsgegevens zijn.
U mag ‘gewone’ persoonsgegevens verwerken wanneer u de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren.
Verwerken van persoonsgegevens
Onder verwerking valt een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen, vastleggen, ordenen, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, ter beschikking stellen of vernietigen van gegevens. Het verwerken van persoonsgegevens kan dus variëren van het verzamelen van gegevens tot het vernietigen ervan.
De AVG geeft zes beginselen voor het verwerken van persoonsgegevens:
Wat betekent dit voor uw organisatie:
Voor uw organisatie betekent dit dat er organisatorische en technische maatregelen moeten worden getroffen om aan de AVG te voldoen. Uw organisatie moet dit ook kunnen aantonen, onder andere door de gegevensverwerking die plaatsvindt binnen uw organisatie te documenteren in een verwerkingsregister. Bovendien moet u uw klanten en medewerkers informeren over de wijze van verwerking van persoonsgegevens door middel van een privacy-statement. Sommige ondernemingen moeten ook een Functionaris Gegevensbescherming aanstellen en een Data Protection Impact Assessment (DPIA) uitvoeren. Kortom, begin tijdig met de implementatie van de AVG, want er komt heel wat op u af.
Wilt u meer weten over hoe uw organisatie kan voldoen aan de AVG? Neem dan gerust contact met ons op!
Thema's:
Bouw en vastgoed, Overheid en onderwijs, Zorg en welzijn, Cultuur en natuur en Ondernemen
