Wat is de AVG?

Wij leggen het je uit!

De vier AVG thema’s

Alles wat je binnen de AVG-wet geregeld moet hebben is onder te verdelen in vier thema’s:

  1. Juridisch
  2. ICT
  3. Organisatie
  4. Medewerkers

We leggen het hieronder per thema uit.

1. Juridisch

1. Juridisch

Je bent verplicht een aantal zaken juridisch vast te leggen en aantoonbaar te maken. Denk daarbij aan een uitgebreid overzicht van wat je als bedrijf doet met persoonsgegevens maar ook aan een heldere procedure over hoe je omgaat met verzoeken van betrokkenen. Bovendien is het juridisch ook belangrijk dat je een duidelijk doel en een grondslag hebt voor de verwerking van persoonsgegevens. Daarnaast is het belangrijk dat je beschikt over geheimhoudingsverklaringen, een privacy statement en verwerkersovereenkomsten met bijvoorbeeld je boekhouder en IT-partner. Ook moet je kunnen aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking. Kortom, je moet juridisch veel regelen.

2. ICT

2. ICT

Op ICT gebied moet je veel regelen, bijvoorbeeld ervoor zorgen dat je software- en virusscanners altijd up-to-date zijn en dat bepaalde systemen met persoonsgegevens alleen toegankelijk zijn via tweetrapsverificatie. Denk ook aan het pseudonimiseren van persoonsgegevens en het zorgen voor veilige back-ups om de door jouw verwerkte persoonsgegevens te beschermen tegen verlies of ransomware. Bedenk daarbij dat dit een continu proces is; je moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Welke maatregelen je precies treft en hoe je dit allemaal binnen je eigen bedrijf regelt, moet beschreven zijn in een informatiebeveiligingsbeleid.

3. Organisatie

3. Organisatie

Je moet de nodige organisatorische maatregelen treffen om de verwerking van persoonsgegevens goed te beveiligen. Denk daarbij aan duidelijke procedures en werkwijzen, bijvoorbeeld op het gebied van bewaartermijnen en het inventariseren en beheersen van privacy risico’s (privacy by design, Data Protection Impact Assessments en doorgifte van persoonsgegevens naar buiten de EU). Procedures zijn ook nodig om vast te leggen (en bij te houden) welke medewerkers toegang hebben tot bepaalde gegevens. Maar denk ook aan procedures voor het testen van beveiligingsmaatregelen, regelmatige controle van de logbestanden en het opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten. Alle procedures kun je vastleggen in een privacybeleid.

4. Medewerkers

4. Medewerkers

De meeste datalekken ontstaan door menselijke fouten. Beveiliging en bescherming van persoonsgegevens begint dus bij je medewerkers. Zij hebben direct toegang tot gevoelige informatie en werken dagelijks met persoonsgegevens. Ze vormen de eerste verdedigingslinie tegen mogelijke inbreuken op de privacy. Je medewerkers moeten weten wat van hen wordt verwacht en op de hoogte zijn van belangrijke eisen van de AVG en van de juridische, technische en organisatorische maatregelen die binnen jouw bedrijf zijn opgesteld. Ook moeten zowel bestaande als nieuwe medewerkers regelmatig getraind worden in privacy- en beveiligingsbewustzijn. Menselijke fouten, zoals het per ongeluk versturen van gevoelige informatie naar de verkeerde ontvanger of het gebruik van zwakke wachtwoorden, kunnen leiden tot datalekken en privacy-incidenten.

Checklist AVG

Gratis Checklist: voldoe jij aan de AVG eisen?

Ontdek eenvoudig of jij aan de privacywet voldoet. Vraag de gratis checklist aan.

Duik in onze kennisbank

Algemene verordening gegevensbescherming (AVG): de regels

Voldoet jouw bedrijf aan de regels van de Algemene verordening gegevensbescherming (AVG)? Deze privacywetgeving is in de hele EU van toepassing en als bedrijf moet je daar in Nederland rekening mee houden. Lees meer

Mag ik een kopie van een identiteitsbewijs maken?

De juridische helpdesk ontvangt vaak vragen over of je een kopie paspoort mag maken. Bijvoorbeeld van je klanten of leden of van je werknemers. Hoe zit het eigenlijk? Wij leggen het je uit. Lees meer

Steekproef: bijna een derde websites schendt privacywet

Uit een steekproef van Stichting AVG blijkt dat bijna 30% van de geanalyseerde websites het privacy statement op de website niet op orde heeft. Lees meer

Veelgestelde vragen

Voor wie geldt de AVG wet?

De Europese privacywet geldt al vanaf 25 mei 2018 voor alle organisaties die persoonsgegevens verwerken. Denk aan:
– Grote en kleine bedrijven
– ZZP’ers
– (Sport)verenigingen
– Zorginstanties en -professionals
– Verenigingen van eigenaren
– Stichtingen
De wet geldt voor álle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen. Vrijwel alle ondernemers hebben te maken met dit soort privacygevoelige informatie, zoals het bijhouden van afspraken met klanten, telefoonnummers van klanten, emailadressen of personeelsinformatie. De wet maakt geen onderscheid tussen grote of kleine organisaties. Kortom, iedereen moet aan deze wet voldoen. En omdat er actieve controle is van AP (Autoriteit Persoonsgegevens) is het slim om te zorgen dat je er aan voldoet.

Hoe weet ik of ik ook aan de AVG-regels moet voldoen?

De AVG is van toepassing op elke organisatie die persoonsgegevens verwerkt. Persoonsgegevens zijn gegevens die direct of indirect kunnen leiden tot de identificatie van een persoon, zoals namen, adressen, e-mailadressen, enzovoort. Het maakt niet uit of je een klein of groot bedrijf bent, lokaal of internationaal opereert, publiek of privaat bent – als je deze gegevens opslaat, ben je verplicht te voldoen aan de regels van de AVG.
Zelfs als je deze gegevens niet vaak gebruikt, is het belangrijk om te voldoen aan de wetgeving. Het gaat erom dat je kunt aantonen hoe je met deze persoonsgegevens omgaat. Dus, of je nu klantgegevens, informatie over je werknemers, leden, of cliënten bewaart, de AVG vereist dat je transparant bent over hoe je deze gegevens verzamelt, gebruikt en beveiligt.

Ik sla (bijna) geen persoonsgegevens op. Moet ik dan toch aan de wet voldoen?

Ja. De wet maakt geen onderscheid tussen grote en kleine organisaties of veel en weinig gegevens. Bijna elke organisatie in Nederland verwerkt persoonsgegevens, bijvoorbeeld in een klantenbestand, een ledenbestand, de personeelsadministratie, een CRM-systeem of bij gebruik van cameratoezicht. In alle gevallen moet je vastleggen wat je doet (of juist niet doet) om aan de AVG-regels te voldoen.

Wat gebeurt er als ik niet aan de AVG-regels voldoe?

Het niet naleven van de AVG kan serieuze gevolgen hebben voor een organisatie. De Autoriteit Persoonsgegevens (AP) houdt actief toezicht en controleert of organisaties zich aan de regels houden. Dit gebeurt na klachten (ongeveer 25.000 per jaar), steekproeven of na datalekken (circa 24.000 per jaar). Als een organisatie niet aan de privacywetgeving voldoet, kan de AP boetes opleggen die behoorlijk hoog kunnen zijn, tot wel 20 miljoen euro of 4% van de wereldwijde omzet.
Naast financiële boetes kunnen er andere gevolgen zijn. Het kan leiden tot reputatieschade, wat invloed heeft op hoe mensen en klanten jouw organisatie zien. Dit kan leiden tot het verlies van vertrouwen en uiteindelijk klanten en omzet. Recentelijk zijn niet alleen grote, maar ook kleinere organisaties beboet, wat aantoont dat naleving van de AVG voor alle bedrijven van belang is.

Wat gebeurt er als de wet verandert?

Het voldoen aan de AVG is een voortdurend proces. We streven ernaar jou voortdurend op de hoogte te houden van wijzigingen in de wetgeving. Het is echter ook belangrijk dat je zelf regelmatig controleert of jouw informatie nog steeds actueel is. Heb je nieuwe leveranciers of medewerkers? Sla je extra gegevens op? Kloppen je back-ups nog? Je kunt alleen aan de AVG voldoen als je regelmatig checkt of je alles nog op orde hebt. Dit vereist een continue inspanning en wij maken dat voor jou zo gemakkelijk mogelijk.