De Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei 2018 van kracht en vormt het belangrijkste kader voor privacywetgeving in Europa. De wet geldt voor alle organisaties die persoonsgegevens verwerken — van klantgegevens tot personeelsinformatie. De AVG bepaalt binnen welke kaders gegevens mogen worden verzameld, opgeslagen en gebruikt.
Het doel van de AVG is de privacy van individuen (genaamd betrokkenen) te beschermen en organisaties te verplichten zorgvuldig met persoonsgegevens om te gaan. Dat vraagt om duidelijke processen, overzichtelijke archieven en transparante communicatie. In deze blog leest u wat de AVG inhoudt, welke verplichtingen gelden en hoe u ze praktisch toepast.
Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) is de Europese wet die regels stelt voor het verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens die direct of indirect iets zeggen over een individu, zoals namen, adressen, e-mailadressen of medische informatie.
De wet biedt één uniform kader voor de hele Europese Unie en versterkt de privacyrechten van burgers, maar ook de verwerkingsmogelijkheden door Verwerkers. Hierdoor wordt het eenvoudiger om data over landsgrenzen heen uit te wisselen, terwijl de bescherming van persoonsgegevens gewaarborgd blijft.
Organisaties mogen gegevens alleen verzamelen op basis van een zogenaamde grondslag, met een duidelijk doel, niet langer bewaren dan nodig en moeten passende beveiligingsmaatregelen nemen.
De belangrijkste verplichtingen voor organisaties
De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om persoonsgegevens op een verantwoorde manier te verwerken. Dit geldt voor alle organisaties die persoonsgegevens verzamelen, opslaan of gebruiken.
Verwerkingsregister bijhouden.
Het bijhouden van een verwerkingsregister is verplicht:
- Voor organisaties met meer dan 250 medewerkers, én
- Voor organisaties met minder dan 250 medewerkers, wanneer:
- de verwerking van gegevens niet incidenteel is;
- er persoonsgegevens met een hoog risico worden verwerkt;
- of er bijzondere persoonsgegevens worden verwerkt.
Organisaties moeten nauwkeurig kunnen aantonen welke persoonsgegevens zij verwerken, met welk doel, waar deze gegevens worden opgeslagen en wie er toegang toe heeft.
Meldplicht datalekken.
Bij een datalek moet in veel gevallen melding worden gedaan aan de Autoriteit Persoonsgegevens, en soms ook aan de betrokken personen.
Rechten van betrokkenen respecteren.
Betrokkenen hebben recht op inzage, correctie, verwijdering en — in bepaalde gevallen — overdraagbaarheid van hun gegevens. Verzoeken moeten binnen de daarvoor gestelde termijn en zorgvuldig worden afgehandeld.
Verantwoordingsplicht en transparantie.
Organisaties moeten kunnen aantonen dat zij aan de regels voldoen en helder communiceren over het gebruik en de beveiliging van persoonsgegevens.
Gevolgen voor de dagelijkse praktijk
De AVG raakt vrijwel alle dagelijkse processen binnen een organisatie. Persoonsgegevens komen voor in IT-systemen, documenten, dossiers en in de communicatie met medewerkers, klanten en andere relaties.
Organisaties moeten precies weten waar persoonsgegevens zich bevinden. Dat vraagt om overzicht en structuur in zowel digitale als papieren archieven. Zonder centrale afspraken is het moeilijk om verzoeken van betrokkenen te behandelen of aan te tonen dat de organisatie aan de wet voldoet.
Ook bewaartermijnen spelen een belangrijke rol: gegevens mogen niet langer worden bewaard dan noodzakelijk. Organisaties moeten vastleggen hoelang documenten bewaard blijven en processen inrichten om deze tijdig te verwijderen of te archiveren.
De verantwoordingsplicht houdt in dat organisaties moeten kunnen aantonen welke maatregelen zijn genomen, hoe persoonsgegevens worden beschermd en hoe verzoeken of datalekken worden afgehandeld.
Hoe organisaties AVG-proof kunnen werken
Organisaties kunnen de AVG op een praktische manier naleven door een aantal duidelijke stappen te volgen:
1. Breng alle gegevens in kaart
Bepaal welke persoonsgegevens u verwerkt en wie toegang heeft.
2. Leg processen vast
Maak afspraken over het verzamelen en verwerken van gegevens, het afhandelen van verzoeken en het melden van datalekken.
3. Zorg voor een overzichtelijk archief
Bewaar documenten centraal en beperk toegang tot bevoegden.
4. Voer periodieke controles uit
Controleer regelmatig of gegevens actueel zijn en verwijder verouderde of foutieve informatie om overzicht en compliance te behouden.
5. Train medewerkers
Zorg dat alle medewerkers die met persoonsgegevens werken op de hoogte zijn van de AVG en veilig met gegevens omgaan.
6. ISO-certificaten
Draag zorg voor adequate informatiebeveiliging, ISO27001 en NEN7510 zijn geschikte normen om dit mede te realiseren.
Door onder andere deze stappen te volgen, werkt uw organisatie AVG-proof, beschermt u de privacy van betrokkenen en vermindert u risico’s bij audits of controles.
Klaar om AVG-proof te werken?
De AVG vereist een gestructureerde aanpak, overzichtelijke archieven en goed doordachte processen. Archive-IT helpt organisaties hun gegevensbeheer veilig, efficiënt en compliant in te richten en denkt mee over een oplossing die bij uw situatie past, zodat risico’s worden beperkt en privacy gewaarborgd blijft. Wilt u weten hoe uw organisatie AVG-proof kan worden? Neem contact op voor advies en ondersteuning op maat.
Aan de inhoud van deze blog kunnen geen rechten worden ontleend. De informatie is met zorg samengesteld en dient uitsluitend ter algemene informatie. Voor advies dat is toegespitst op uw specifieke situatie raden wij aan juridisch of specialistisch advies in te winnen.