ALGEMENE VERORDENING GEGEVENSBESCHERMING
AVG is de Nederlandse variant van General Data Protection Regulation (GDPR)
Vanaf 25 mei 2018 dient uw bedrijf AVG-proof te zijn conform de Europese verordening van 14 april 2016. Dit geldt voor alle partijen die persoonsgegevens verwerken. Uw bedrijf doet dat uiteraard ook want klant- en leveranciersgegevens vallen ook onder persoonsgegevens.
Mehdi Horstmanshoff | Ulft, zaterdag 31 maart 2018
AVG vanuit de EU
Mogelijk nam uw bedrijf reeds maatregelen en voorbereidingen ten aanzien van de AVG. Met name de boetebepalingen liegen er niet om. Heeft u nog geen voorbereidende maatregelen regelen dan heeft u nog een kleine twee maanden om uw bedrijf klaar te stomen voor de Algemene Verordening Gegevensbescherming.
De inwerkingtreding van deze verordening is 25 mei 2018. De AVG geldt voor alle organisaties de persoonsgegevens verwerken. Dat houdt private organisaties maar toch publieke organisaties in de gegevens van personen vragen, opslaan, bewaren en gebruiken. Als uw bedrijf dergelijke gegevens verwerkt, houdt hier dan rekening mee.
Ook bedrijven en organisaties die in opdracht persoonsgegevens verwerken, moeten gaan voldoen aan de verordening. Dit kunnen dus ook organisaties zijn die bedrijven als primaire klant hebben, omdat ook daar persoonsgegevens verwerkt kunnen worden. En, heel belangrijk, ook b2b-bedrijven met alleen bedrijven in de klantenkringen moeten mee in de stroom.
AVG breidt de WBP uit
De WBP, de Wet Bescherming Persoonsgegevens, voorziet reeds in behoorlijk wat verplichtingen als het gaat om de bescherming op persoonsgegevens. De AVG voorziet in een extra verplichtingen waaraan uw bedrijf zult gaan moeten voldoen per 25 mei 2018.
Het vastleggen van het verwerken van gegevens is een belangrijke. Uw organisatie wordt verplicht om bij te houden welke persoonsgegevens worden verwerkt. Ook welke handelingen en verwerkingen er hebben plaatsgevonden moet worden vastgelegd. Dit moet ook worden aangevuld met de reden(en) op welke wettelijke basis dit alles gebeurt. Plus het feit dat er trefzekere beveiligingsmaatregelen plaats moeten vinden ten aanzien van de verwerking van persoonsgegevens.
Ongekend: AVG-boetes kunnen oplopen tot € 20 miljoen dan wel 4 procent max. van de globale jaaromzet.
Ook belangrijk is dat u met externe leveranciers nieuwe afspraken vastlegt in overeenkomsten en deze correct afsluit inzake de verwerking van persoonsgegevens. U kunt hoe dan ook niet op dezelfde voet verder gaan na 25 mei 2018. Mocht u niets doen en u wordt gecontroleerd door de handhavende instantie(s), dan hangen u zeer forse boetes boven het hoofd.
Verder dienen digitale verbindingen met andere organisaties onder de loep te worden genomen. Dit hangt samen met het begrip profilering wat zo veel betekent dat er sprake van geautomatiseerde besluitvorming. Is hier van sprake dan ontstaat er vanzelf de plicht de andere partij te informeren.
Misschien wel de belangrijkste verplichting met verstrekkende gevolgen is dat uw organisatie verplicht wordt om een personeelslid aan de stellen die gaat over de bescherming van gegevens. Ofwel een collega krijgt er een taak bij of u zult iemand geheel moeten gaan belasten met deze buitengewone taak. Dit is uiteraard afhankelijk van de grootte van uw bedrijf en de hoeveelheid persoonsdata die door de organisatie stroomt.
AVG in internationaal verband
In EU-verband zal uw organisatie ook aan de AVG moeten gaan voldoen. Houdt hier rekening mee bij het aangaan van nieuwe overeenkomsten en neem lopende contracten tijdig onder de loep. Doet u zaken met bedrijven buiten de EU dan zullen passende maatregelen nodig zijn. Ook dan dienen alle typen persoonsgegevens correct te worden behandeld zoals de AVG voorschrijft.
Vele landen buiten de EU hebben inmiddels ook de nodige maatregelen genomen of zijn hier mee bezig. Laat u daarover in ieder geval op tijd informeren. Verder bestaan er internationale standaardvoorschriften over hoe om te gaan met persoonsgegevens. Let hierbij want deze hoeven niet per sé 100% te voldoen aan de AVG.
Wat meer aan de technische zijde van deze AVG-ontwikkelingen en de inwerkingtreding per 25 mei 2018. Databases, cloudoplossingen, CRM-systemen enz. zullen in het kader van de AVG volledig moeten worden afgestemd. In dergelijke en aanverwante systemen is het namelijk verplicht om alle typen persoonsgegevens goed te beschermen. En, ook zeer belangrijk, alleen noodzakelijke handelingen met deze persoonsgegevens mogen plaatsvinden.
In alle typen systemen die persoonsgegevens bevatten, binnenkrijgen, verwerken enz. dient het e.e.a. organisatorisch en technisch op elkaar te worden afgestemd. Eenmaal afgestemd dient deze nieuwe instelling als de standaard te worden ingesteld.
Deadline 25 mei 2018
Online vindt u veel informatie van de overheid en bedrijven over deze AVG en de effectuering hiervan. Past u wel op want er zijn reeds bedrijfjes die uw bedrijf maar al te graag een training en workshop omtrent de AVG willen verkopen. Doet dit niet want u bent zelf prima in staat zich kordaat te informeren, tijdig maatregelen te treffen en een verantwoordelijk personeelslid aan te stellen.
Het is niet moeilijk en juist een verbetering omdat de data van personen beter en veiliger gaat worden beschermd. Voor zover te overzien gaat de AVG bijdragen aan een veiligere wereld en dat is veel waard.
Komt u er niet uit met de AVG dan kunnen wij u van dienst zijn. Met het interpreteren van de maatregelen en effecten of met de eerste schreden vanaf 25 mei 2018. Daarna kan de nieuwe functionaris Gegevensbescherming zelf verder.