Tag: Algemeen

AVG op hoofdlijnen

Algemeen

  1. De GDPR / AVG is ingegaan op 25 mei 2016 en wordt na een overgangsperiode van 2 jaar op 25 mei 2018 actief gehandhaafd.
  2. De GDPR / AVG is van toepassing voor iedere partij (wereldwijd) die met gegevens van Europese / Nederlandse burgers werkt.
  3. Er is sprake van zeer hoge boetes (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet per incident).

Recht van de betrokkene

  1. De betrokkene heeft recht op inzage in een bruikbaar formaat, recht om de verwerking te beperken, recht op rectificatie, recht op wissing/vergetelheid en het recht op bezwaar.
  2. De betrokkene heeft het recht om niet te worden onderworpen aan automatische besluitvorming (o.b.v. profilering) als daar wezenlijke gevolgen voor betrokkene aan zijn verbonden.

Verplichtingen voor uw organisatie

  1. Moet transparant zijn; over rechten van betrokkene, over mutaties, over incidenten.
  2. Moet toestemming verkrijgen van betrokkene voor elke verwerkingsdoelstelling.
  3. Maakt gebruik van een minimale set van gegevens i.r.t. de doelstelling van de verwerking waarvoor toestemming is verleend.
  4. Moet een toestemmingsregister en een verwerkingsregister hebben.
  5. Handelt de rechtsverzoeken van betrokkene op adequate en transparante wijze af.
  6. Moet de beveiliging zowel organisatorisch als technisch op orde hebben: “Security by default” en “security by design”.
  7. Heeft een verwerkingsverantwoordelijke en duidelijke richtlijnen (beleid, contract) waaronder verwerking plaats vindt.
  8. Heeft een Functionaris Gegevensbescherming (> 250 medewerkers).
  9. Als er potentieel een groot risico bestaat dat de belangen van betrokkene ernstig in het geding zijn bij een beoogde verwerking, dan moet er een beoordeling van het effect plaats vinden.
  10. Als het risico van de beoogde verwerking inderdaad hoog is moet er “voorafgaande raadpleging” plaatsvinden met de Autoriteit Persoonsgegevens.
  11. Elke verwerking moet altijd in lijn zijn met de doelstelling waarvoor toestemming is verleend.
  12. Als er onverhoopt een inbreuk plaats vindt, moet
    • de inbreuk binnen 72 uur worden gemeld bij de autoriteit persoonsgegevens,
    • bovendien moet de betrokkene hierover in kennis worden gesteld.

Résumé

  1. Deze nieuwe wetgeving vraagt een behoorlijke inspanning om “compliant” te worden op alle vlakken, denk aan dienstverlening, organisatie en ICT.
  2. Stel een coördinator aan en begin met een inventarisatie, dan weet u waar u staat en wat er (minimaal) moet gebeuren.