De AVG komt eraan: deze 5 documenten heeft elke onderneming nodig!

Geplaatst op:24 april 2018

Het kan u nauwelijks zijn ontgaan: de AVG komt eraan. En al op 25 mei aanstaande! In eerdere blogs attendeerden wij u al op de komst van de AVG, de privacyverklaring en het register verwerkingsactiviteiten. In deze blog neemt Schravenmade Advocaten nog eens met u door welke documenten u voor 25 mei in orde moet hebben.

 

Wat is de AVG ook alweer?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). De AVG is strenger dan de Wbp: burgers krijgen meer en stevigere privacyrechten, organisaties vooral meer verplichtingen. Houden organisaties zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Voor 25 mei 2018 moet iedere organisatie in ieder geval zorgen dat de volgende documenten in orde zijn:

 

#1 De privacyverklaring

Vrijwel alle organisaties verzamelen persoonsgegevens. Denkt u daarbij aan namen, adressen en telefoonnummers van klanten, bezoekers en/of medewerkers. En aan email- of IP-adressen (via cookies op de website). Bijna alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd.

Als u persoonsgegevens verwerkt, bent u volgens de AVG verplicht om dat aan degene van wie u de gegevens verwerkt (in de AVG ‘betrokkene’ genoemd) te laten weten. Dat doet u met een een privacyverklaring.

Een privacyverklaring is een document waarin u aan de betrokkene uitlegt welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u ze beveiligt. De specifieke inhoud van uw privacyverklaring hangt af van welk type persoonsgegevens uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Wat iedere organisatie er in ieder geval in moet opnemen leest u hier.

 

#2 Verwerkersovereenkomsten

Heeft u uw gegevensverwerking (gedeeltelijk) uitbesteed aan externe verwerkers, zoals ICT-leveranciers of een salarisadministrateur? Dan is het belangrijk dat de contracten die u met hen heeft afgesloten voldoen aan de AVG.

Op dit moment heeft u waarschijnlijk bewerkersovereenkomsten met hen gesloten. Deze contracten zijn gebaseerd op de Wbp. Onder de AVG heten bewerkersovereenkomsten voortaan verwerkersovereenkomsten. De AVG is op een aantal punten strenger dan de Wbp. Op grond van de Wbp mag de bewerker bijvoorbeeld de verwerking ook weer uitbesteden aan een derde partij, zonder dat u daarvoor toestemming hoeft te geven. Onder de AVG mag dat niet meer.

Laat uw bewerkerscontracten dus door één van onze advocaten beoordelen en waar nodig aanpassen.

 

#3 & #4 Een protocol datalekken en een register datalekken

Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die eigenlijk geen toegang tot die gegevens zouden mogen hebben. Daarvoor is het niet nodig dat die persoonsgegevens gehackt of gestolen zijn. Ook een verkeerd geadresseerde e-mail met klantgegevens of een verloren usb-stick is een datalek. De AVG is ook op het gebied van datalekken strenger dan de huidige Meldplicht Datalekken.

Onder de AVG bent u verplicht om bepaalde datalekken zo snel mogelijk (liefst binnen 72 uur) te melden aan de toezichthouder. Ook zult u onder omstandigheden de betrokkenen over een datalek moeten informeren. Het is dus belangrijk dat u een protocol datalekken opstelt en in uw organisatie implementeert. Daarnaast moet u in uw verwerkersovereenkomsten goede afspraken maken, voor het geval zich een datalek bij een verwerker voordoet.

U moet bovendien een register bijhouden van alle datalekken die zich bij u voordoen. Dit geldt ook voor datalekken die u niet hoeft te melden bij de toezichthouder.

 

#5 Een register verwerkingsactiviteiten

Verwerkt u persoonsgegevens? Dan moet u, als de Autoriteit Persoonsgegevens daarom vraagt, kunnen aantonen dat u aan de AVG voldoet. Dit wordt ook wel de ‘verantwoordingsplicht’ genoemd. Vrijwel alle organisaties zijn daarbij op grond van de AVG verplicht om een register verwerkingsactiviteiten aan te leggen. Een register verwerkingsactiviteiten is een register van alle gegevensverwerkingen die binnen uw organisatie, of onder uw verantwoordelijkheid plaatsvinden. U mag zelf weten hoe u het register vormgeeft. U kunt op internet verschillende modellen vinden, maar ook een Excel-sheet voldoet. De Autoriteit Persoonsgegevens mag het register opvragen. U bent dan verplicht om inzage te geven. Welke organisaties verplicht zijn om zo’n register aan te legen en wat daar in moet staan leest u hier.

 

Advies nodig over de AVG?

Heeft u vragen over de AVG, of advies nodig over deze documenten? Schravenmade Advocaten helpt u graag verder.

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset
Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram