Adresgegevens

Luchthavenweg 99
5657 EA Eindhoven
T +31 (0) 40 235 34 30
E info@rubicon.nu

   Twitter LinkdIn

De Algemene Verordening Gegevensbescherming (AVG) wordt binnenkort ingevoerd. Wat moet u doen?

De Algemene Verordening Gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. De AVG biedt een betere privacybescherming dan de huidige wetgeving. 
De AVG stelt aan bedrijven, instellingen en overheidsorganisaties voorwaarden aan de verwerking van persoonsgegevens, de opslag ervan en de rechten van mensen (bijvoorbeeld klanten en werknemers).

Met persoonsgegevens wordt bedoeld: alle informatie die betrekking heeft op een persoon of naar een persoon te herleiden is, zoals naam, geboortedatum, geslacht en BSN-nummer. Het maakt daarbij niet uit of het digitale gegevens betreft of gegevens op papier. Een bedrijf of instelling mag alleen over persoonsgegevens beschikken, die vóóraf zijn beschreven in een register en een gerechtvaardigd doel hebben. Dit laatste is afhankelijk van de aard van de organisatie. Bijvoorbeeld: een accountantskantoor hoeft niet te beschikken over medische gegevens van cliënten, een arts moet wel beschikken over medische gegevens van patiënten.

Wat moet er gebeuren om te werken conform de AVG?

  • ​Volgens de Algemene Verordening Gegevensbescherming moet iedere organisatie een register aanleggen, waarin alle verwerkingen van persoonsgegevens zijn vastgelegd, met onder meer een beschrijving van het doel van de gegevens en een beschrijving van de beveiliging van de gegevens.
  • Inventariseer de privacyrisico’s.
  • Toon aan dat de maatregelen die getroffen zijn, om de privacy te waarborgen,  in orde zijn.
  • Maak schriftelijke afspraken met organisaties, waaraan u (een deel van) de bewerking van de persoonsgegevens heeft uitbesteed, bijvoorbeeld een extern ICT-bedrijf is verantwoordelijk voor het computersysteem en heeft inzage in persoonsgegevens van uw werknemers en klanten. Het is verplicht dat de onderlinge afspraken tussen u en de verwerker van de gegevens vast liggen. U bent namelijk eindverantwoordelijk.
  • Verstrek alléén persoonsgegevens aan iemand die deze nodig heeft voor de uitoefening van zijn of haar taak. Dat geldt zowel intern als extern.
  • Zorg voor een instructie als er sprake is van een datalek (de persoonsgegevens liggen “op straat”) dat een aangewezen persoon het datalek binnen 72 uur meldt bij de Autoriteit Persoonsgegevens en bij degene(n) wiens gegevens het betreft. Dat gaat niet alleen over digitale gegevens, maar kan ook een schriftelijk stuk zijn met persoonsgegevens.
  • De beveiliging van de gegevens dient aantoonbaar adequaat te zijn.
  • Een klant of een (ex-)werknemer heeft op grond van de AVG recht tot inzage, correctie van zijn of haar gegevens. Tevens kan de betrokkene (binnen bepaalde kaders) eisen dat zijn of haar gegevens worden vernietigd.

In dit artikel zijn enkele aandachtspunten van de AVG behandeld. Ons advies aan u is om na te gaan wat de invoering van de AVG voor uw organisatie betekent en op welke manier u kunt voldoen aan de eisen. Indien u hierover meer wilt weten, kunt u contact opnemen met onze adviseurs.