Menu

Regels AVG

Regels privacywet AVG voor uw organisatie

Iedere organisatie moet voldoen aan de eisen die de AVG stelt. De AVG heeft consequenties voor de wijze waarop u als organisatie om moet gaan met persoonsgegevens en hoe u deze mag delen met andere organisaties. Heeft u ondersteuning nodig bij het uitvoeren van deze regels? Vraag een offerte aan voor Privacy Protect.

Privacybeleid

Uw organisatie moet actief beleid voeren en maatregelen implementeren waaruit blijkt dat de AVG wordt nageleefd. Er zal daarom een privacybeleid moeten worden opgesteld.

Transparantie en informatieplicht

Voor betrokkenen moet kenbaar zijn  dat persoonsgegevens worden verwerkt en hoe dit gebeurt.  Hierover moeten zij op een duidelijke en makkelijk raadpleegbare wijze uitgebreid worden geïnformeerd.

Privacy instellingen

Privacy by design en privacy by default zijn een onderdeel van de nieuwe eisen. Al bij de ontwikkeling van nieuwe producten en diensten, waarbij persoonsgegevens worden verwerkt, moeten privacy-verhogende aspecten worden ingebouwd in het ontwerp. Dit noemt men privacy by design.

Voor producten of diensten waar gebruikers zelf persoonsgegevens kunnen delen of afstaan moet privacy by default worden toegepast. Organisaties zijn verplicht de privacy van gebruikers te beschermen door de instellingen en functies van de producten of diensten standaard (by default) op de meest privacyvriendelijke stand te zetten.

Jongeren

Het verwerken van persoonsgegevens van jongeren tot 16 jaar ten behoeve van online diensten is slechts toegestaan met toestemming van de ouders, waarbij de bewijslast voor deze toestemming rust op de organisatie die de persoonsgegevens verwerkt. Lidstaten kunnen deze leeftijd verlagen tot 13 jaar.

Vergeetrecht

Degene die persoonsgegevens verwerkt, heeft een verregaande verplichting gegevens te wissen. Iedere natuurlijke persoon waar persoonsgegevens van worden verwerkt, heeft het recht om vergeten te worden.

Afspraken met dienstverleners (verwerkers)

Als u persoonsgegevens extern laat verwerken (zoals een salarisadministratiekantoor, cloud provider of ICT-beheerder), dan moet u er voor zorgen dat de externe partij voldoende waarborgen biedt ten aanzien van de meldplicht datalekken. Dat betekent dat u er voor moet zorgen dat u in staat bent uw wettelijke verplichtingen na te komen. Maak daarom afspraken met de bewerker dat u tijdig geïnformeerd wordt over incidenten en dat u alle informatie ontvangt die u nodig heeft. Ook moeten de afspraken over de omgang met de persoonsgegevens schriftelijk zijn vastgelegd in een bewerkersovereenkomst.  

Doorgifte naar landen buiten de EU

Persoonsgegevens mogen alleen buiten de EU worden verwerkt als aan strikte voorwaarden wordt voldaan. Dat is vaker nodig dan u denkt, want opslag in de cloud bij een Amerikaanse provider (zoals gebruik maken van Office 365) of onderhoud op systemen vanuit India worden ook beschouwd als doorgifte naar een land buiten de EU.

Functionaris voor de gegevensbescherming (FG)

Organisaties kunnen verplicht zijn een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Het aanstellen van een FG is verplicht voor:

  • Overheidsinstanties en publieke organisaties
  • Zorg- en onderwijsinstellingen
  • Organisaties die als kernactiviteit op grote schaal mensen volgen en hun persoonsgegevens verwerken
  • Organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken

Privacy Impact Assessment (PIA)

Onder de AVG kunt u verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Vervolgens kunt u maatregelen nemen om de risico’s te verkleinen. U moet een PIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

©2019 cyberadviseur.nl