Algemene Verordening Gegevensbescherming (AVG): nieuwe privacy regels vanaf 25 mei 2018

Wat heeft de AVG veranderd?
De AVG heeft onder meer gezorgd voor:

• Ruimere rechten voor individuen (met grotere verplichtingen voor de organisatie aan de andere kant)
• Verantwoordingsplicht van de organisatie die persoonsgegevens verwerkt (zogeheten accountability)
• Verruiming van de aansprakelijkheid voor diegene die persoonsgegevens verwerkt
• Meldingsplicht voor inbreuken (datalekken)
• Versterking van het toezicht en de handhaving en boetes door Autoriteit Persoonsgegevens.

In de volgende vragen zal dieper worden ingegaan wat persoonsgegevens zijn en welke regels er gelden voor de verwerking ervan.

Wat wordt er verstaan onder persoonsgegevens en het verwerken van persoonsgegevens?
Persoonsgegevens zijn alle gegevens die, direct of indirect, herleidbaar zijn tot een individu. Dat wil zeggen gegevens die laten zien wie een persoon is (bijv. sekse, nationaliteit, godsdienst, leeftijd, BSN, NAW-gegevens, IP-adres)

Onder het verwerken van persoonsgegevens wordt in het algemeen bedoeld het verzamelen, delen en opslaan van persoonsgegevens. Maar ook het wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen en vernietigen van persoonsgegevens, zijn manieren van het verwerken van persoonsgegevens.

Wanneer is het toegestaan om persoonsgegevens te verwerken?
De AVG noemt 6 gronden waarop het toegestaan is om persoonsgegevens te verwerken. Van de 6 gronden waarop gegevensverwerking wél toegestaan, zijn er 4 relevant voor uw bedrijfsvoering: De gegevensverwerking vindt plaats bij (klik op de links voor uitgebreidere informatie op de website van de Autoriteit Persoonsgegevens):

• Expliciete toestemming van de betrokkene: de individuele burger of werknemer van wie de persoonsgegevens worden verwerkt, geeft hiervoor toestemming.
• Uitvoering van een overeenkomst: voor de uitvoering van een opdracht bij een particulier heeft u de NAW-gegevens van de opdrachtgevernodig om bijv. materialen te kunnen leveren. Dit neemt u op in het contract.
• Een wettelijke verplichting: bijv. u verstrekt persoonsgegevens van werknemers aan de Belastingdienst in verband met de belastingwetgeving.
• Een gerechtvaardigd belang van de organisatie bij de verwerking van de persoonsgegevens. U kunt zich op deze grondslag baseren als u aan drie voorwaarden voldoet: (1) u heeft een gerechtvaardigd belang, (2) de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen en (3) u heeft een afweging gemaakt tussen uw belangen en die van de personen van wie u persoonsgegevens verwerkt.
• Een gerechtvaardigd belang kan bijv. het voeren van een personeelsadministratie zijn.

De andere 2 grondslagen zijn:

• Een vitaal belang
• Vervulling van een taak van algemeen belang of uitoefening van openbaar gezag

Welke persoonsgegevens mag ik verwerken?
Een organisatie mag alleen persoonsgegevens verwerken voor een specifiek, vastgesteld doel. U mag deze gegevens ook niet langer bewaren dan nodig is voor dit doel. Dit betekent dat u intern goed moet nagaan welke gegevens u verwerkt en of daarvoor specifieke bewaartermijnen gelden.
Voor bijzondere persoonsgegevens (bijv. gezondheid/ziekte, ras, religie, politieke overtuigingen) gelden strengere eisen

Wat zijn de gevolgen heeft de AVG voor de dagelijkse praktijk van mijn bedrijf?
Uit het bovenstaande blijkt wel dat de AVG een grote impact kan hebben op uw dagelijkse bedrijfsvoering. Het belangrijkste is dat u een privacy beleid voor uw organisatie moet vaststellen. Om een dergelijk beleid vast te stellen moet u bijv. inventariseren welke en vastleggen hoe persoonsgegevens in uw bedrijf verwerkt worden. Daarna moet het privacy beleid afgestemd worden met de betrokkenen, bijv. uw personeel, administratie, maar ook met uw opdrachtgevers en onderaannemers.

Meer Informatie:

• Bewaartermijnen persoonsgegevens
• Gegevensbeheer en verwerking
• Personeelsdossiers
• Personeelsdossiers – privacy
• Privacyverklaring - tool
• Voorbeeldbrieven – Autoriteit Persoonsgegevens
• Vraag en antwoord

Downloads

• Beslismodel datalekken
• Bijzondere persoonsgegevens wel of niet verwerken
• Checklist veiligheidseisen website
• Data en hardware vernietigen
• Handreiking persoonsgegevens bouw
• Model bewerkersovereenkomst
• Modelbrief werknemers - informatieplicht
• Modelregeling gezamenlijke verantwoordelijkheid
• Modelregeling privacy t.b.v. algemene voorwaarden
• Privacyverklaring website
• Risico analyse beveiliging persoonsgegevens
• Uitgangspunten bij het treffen van beveiligingsmaatregelen
• Werkgeversinformatieplicht aan werknemers
• Wie is aansprakelijk bij datalek