Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG); de nieuwe privacywet. Eén Europese privacywet die in de gehele EU geldt. Deze vervangt het huidige stelsel van nationale wetten per lidstaat. Voor Nederland was dit de Wet bescherming persoonsgegevens (Wbp). In grote lijnen zal dit als gevolg hebben dat organisaties meer verplichtingen krijgen bij het verwerken van persoonsgegevens. De aantoonbaarheid van de inspanningen die zijn gepleegd om aan de AVG-eisen te voldoen, wordt belangrijker (verantwoordingsplicht).

Voor wie?

Ondanks dat de AVG primair is gericht op bedrijven die op grote schaal als ‘core business’ persoonsgegevens verwerken, is de wetgeving van toepassing op alle bedrijven en zzp-ers. Persoonsgegevens kunnen gegevens van klanten zijn, maar ook de adresgegevens of bankgegevens van eigen medewerkers vallen hieronder.

Hoe voor te bereiden?

De eisen die de AVG stelt aan bedrijven zijn ‘risk-based’ opgezet. Hoe groter de organisatie, hoe meer persoonsgegevens worden verwerkt en hoe gevoeliger deze gegevens zijn, hoe meer eisen er gelden.

Voor alle organisaties geldt:
  • Creëer bewustwording op managementniveau. Wat is de AVG en wat gaat deze voor impact hebben op de organisatie? Welke persoonsgegevens worden verwerkt en welke beheersmaatregelen zijn hiertoe opgezet?
  • Zorg voor beleid. Wat is er al geregeld op het gebied van privacy? Is er al een privacybeleid of IT-beleid dat zorgt voor databescherming? Zijn er afspraken met leveranciers over de bescherming van gegevens? Leveranciers kunnen verwerkersovereenkomsten opstellen waarmee ze inzichtelijk maken hoe zij de aangeleverde persoonsgegevens beschermen. Op IT-gebied dienen heldere afspraken te bestaan over bescherming tegen gegevensverlies (firewalls, back-ups en restores).
  • ‘Privacy by design and by default’: zorg ervoor dat er niet meer gegevens worden verzameld dan noodzakelijk en dat gegevens niet langer worden bewaard dan noodzakelijk (bv. na uitdiensttreding). Stel websites of formulieren zo op dat bv. bij het inschrijven voor een nieuwsbrief, niet meer gegevens worden gevraagd dan nodig voor het toesturen van de nieuwsbrief.
250+ medewerkers of bijzondere gegevens?

Voor grotere organisaties (>250 medewerkers) of organisaties die bijzondere persoonsgegevens verwerken (bv. medische gegevens) gelden diverse aanvullende eisen. Onder meer:

  • Breng gegevensverwerkingen in kaart. Welke gegevens worden waarom verwerkt? Met wie worden ze gedeeld (bv. accountant)?
  • Voer een risico-analyse uit. Een zogenaamde Data Protection Impact Assessment (DPIA) kan verplicht zijn bij grootschalige verwerking van bijzondere persoonsgegevens. Maar ook als deze niet verplicht is, kan het verstandig zijn om op deze manier te kijken naar de risico’s en hierop beheersmaatregelen af te stemmen.
  • Aanstellen van een Functionaris voor de gegevensbescherming (FG). Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.


Wilt u hier meer over weten, neem dan contact op met Jeroen Hoff via jhoff@emprove.nl of +316 24 28 64 83 of kijk op de site van de toezichthouder: www.autoriteitpersoonsgegevens.nl