Legal

AVG: het begint bij bewustwording

Mr. Jan van Ederen Mr. Jan van Ederen

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Controleer daarom hoe ver u bent of hoe u uw organisatie compliant maakt.

Over de AVG

Onder de AVG vallen alle verwerkingen die betrekking hebben op persoonsgegevens. Met andere woorden alle momenten waarop een organisatie gegevens waarmee een natuurlijke persoon te identificeren is verwerkt. Hieronder valt onder andere het verzamelen, vastleggen, gebruiken, verstreken of opslaan van gegevens. Dit geldt voor gegevens van bijvoorbeeld uw klanten, maar ook voor gegevens van uw medewerkers. Inderdaad, dat zijn er nogal wat in een gemiddelde organisatie.

Begin bij bewustwording

Belangrijk is dat iedereen in uw organisatie op de hoogte is van de aankomende wijziging in wetgeving. Vervolgens kunt u uw organisatie op de juiste manier inrichten om zo aan alle verplichtingen te voldoen. Op alle lagen binnen uw organisatie dienen medewerkers bijvoorbeeld bewust zijn van hun meldingsplicht bij een inbreuk op persoonsgegevens (datalek), welke gegevens zij wel of niet mogen inzien en aan wie ze deze gegevens mogen verstrekken.

Ook op het hoogste niveau is het van belang in kaart te brengen welke gegevens uw organisatie exact verwerkt en waarvoor u deze gebruikt. Indien u persoonsgegevens op niet-incidentele basis verwerkt dan bent u verplicht alle verwerkingen vast te leggen in een verwerkingsregister. Dat bent u al snel, nu alle verwerkingen met een zekere bestendigheid - zoals uw personeelsadministratie of klantendatabase - hieronder vallen.

Het verwerkingsregister

Het register houdt u schriftelijk bij en dient om aan te tonen dat u voldoet aan de verplichtingen uit de verordening door inzichtelijk te maken welke reis de gegevens afleggen in uw organisatie en hoe de gegevens beschermd worden. U neemt in ieder geval de volgende onderdelen in het verwerkingsregister op:

  1. De naam en contactgegevens van de verantwoordelijke; inclusief de concrete afdeling en verantwoordelijke manager.
  2. De doeleinden van de verwerking en de grondslag waarop deze verwerking plaatsvindt; bijvoorbeeld na toestemming van de betrokkene, of wegens uitvoering van een overeenkomst.
  3. Een beschrijving van de categorieën gegevens die verwerkt worden en op welke categorieën betrokkenen (de identificeerbare natuurlijke personen) dit betrekking heeft.
  4. Hoe lang de persoonsgegevens bewaard (mogen) worden; nooit langer dan noodzakelijk en rekening houdend met eventuele wettelijke bewaartermijnen, u motiveert waarom u voor deze termijn kiest.
  5. Een omschrijving van de categorieën ontvangers aan wie u de persoonsgegevens verstrekt. Hierin maakt u onderscheid tussen ontvangers in de Europese Economische Ruimte en daarbuiten. Vindt doorgifte plaats naar derde landen of internationale organisaties? Dan toont u met documenten aan hoe deze bescherming van gegevens plaatsvindt.
  6. De organisatorische en technische beveiligingsmaatregelen die u heeft getroffen.

Heeft u hulp of advies nodig bij het opstellen van een verwerkingsregister? Neemt u dan contact op met onze bedrijfsjuridisch adviseurs.

Gerelateerde artikelen

Cyber- en datarisico's

Hoe kunnen de bestuurders en managers van vandaag zich voorbereiden op data-, privacy- en cyberrisico’s en adequaat reageren als het toch mis gaat?

Autoriteit Persoonsgegevens controleert naleving van de AVG!

Rond de inwerkingtreding van de Algemene verordening gegevensbescherming‎ (AVG) was een veelgehoorde opmerking dat het met de controle van de Autoriteit Persoonsgegevens (AP) niet zo een vaart zou lopen. Inmiddels is duidelijk dat de AP wel degelijk controleert en ook zal handhaven. Lees over welke controles de AP heeft uitgevoerd.

Privacy, wie heeft dat nou nog?

In dit digitale tijdperk worden continu persoonsgegevens over ons doen en laten verzameld. Organisaties moeten een balans vinden tussen het vergaren en bewaren van de noodzakelijke persoonsgegevens, terwijl ze gelijktijdig de privacy van hun medewerkers moeten eerbiedigen. Vanuit het perspectief van incidentonderzoek hebben wij daar een specifieke kijk op, waar u wellicht uw voordeel mee kunt doen. Lees hier meer over.

AVG: ben ik verwerker of verwerkingsverantwoordelijke?

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Lees meer over het zijn van verwerker of verwerkingsverantwoordelijke.

Privacywetgeving: heb ik nou een jurist nodig of een hacker?

Een Europese verordening over de bescherming van persoonsgegevens waar een hoop over te doen is. Maar wat staat daar nou eigenlijk in? In Artikel 5 staat: ‘persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is’. ‘Passende maatregelen’ voor een ‘passende beveiliging’. Aha. ‘Passend’, wat is dat eigenlijk? Lees hier meer over.

Waarin beschermt de Wet bescherming bedrijfsgeheimen mij?

De Wet bescherming bedrijfsgeheimen is recent aangenomen door de Eerste Kamer. De nieuwe wet implementeert de Europese Richtlijn betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie, oftewel bedrijfsgeheimen. Hoe helpt deze wet mij als ondernemer? En hoe moet ik mijn gegevens beschermen? Lees meer over dit onderwerp.

AVG: het begint bij bewustwording

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Controleer daarom hoe ver u bent of hoe u uw organisatie compliant maakt.

Wat is de waarde van mijn data?

Download het rapport 'Wat is de waarde van uw data?' en ontvang een praktische aanpak waarmee data- en privacyrisico’s en de dreiging van een cyberincident beter beheersbaar worden.