AVG
niet moeilijk, wel belangrijk

Algemene verordening gegevensbescherming

en de Uitvoeringswet die erbij hoort (UAVG), is alweer een aantal jaar oud en kwam in de plaats van de Wet bescherming persoonsgegevens (Wpb). Eenvoudig gezegd moet de UAVG ervoor zorgen dat gegevens over personen zorgvuldig en veilig worden opgeslagen, dat mensen inzage kunnen hebben in hun eigen gegevens, maar vooral dat er niet ‘onnodig’ of zonder toestemming dingen worden bewaard. Dit alles om de privacy van personen te beschermen. De UAVG heeft als grootste verschil met de oude wet, dat er boetes kunnen worden opgelegd aan instanties die zich er niet aan houden. En dat is de afgelopen jaren ook gebeurd. Slecht beveiligde data, datalekken of zelfs doorverkochte gegevens hebben instellingen boetes van honderdduizenden euro’s gekost.

Overzicht naleven van AVG

De Autoriteit Persoonsgegevens heeft een overzicht gemaakt van de zaken die voor een organisatie van belang zijn voor het naleven van de AVG. Los van juridische formuleringen komt het hierop neer:

View documentbeheer
  • Zorg dat je je bewust bent van de regels en pas de werkwijze en procedures daarop aan.
  • Weet waar de betrokken personen recht op hebben; zij kunnen stukken inzien, hebben recht op correctie of zelfs verwijderen van gegevens.
  • Documenteer wat je doet met gegevens; wat leg je vast en waarom? Hoe zorg je ervoor dat persoonsgegevens goed worden beschermd, hoe kom je aan de gegevens en wie kan het inzien? Dit alles moet verplicht worden vastgelegd.
  • Privacy Impact Assesment (PIA); een instelling moet dit uitvoeren als er een hoog privacy risico bestaat.
  • Bij het ontwerpen van producten en diensten moet je al stilstaan bij de manier waarop je de persoonsgegevens beschermt en welke gegevens echt noodzakelijk zijn. Het vinkje ‘ja ik wil voortaan aanbiedingen ontvangen’ dus niet al vooraf aanvinken.
  • Bij grotere instellingen kan het benoemen van een aparte functionaris voor de gegevensbescherming noodzakelijk zijn.
  • Als er toch datalekken worden geconstateerd moeten deze verplicht worden vastgelegd en gemeld!
  • Als je de verwerking van gegevens hebt uitbesteed aan een andere partij, controleer dan of in het contract duidelijke afspraken en maatregelen staan over de bescherming van gegevens.
  • Als mensen hebben toegestemd in het bewaren van hun gegevens, moeten zij deze toestemming eenvoudig weer kunnen intrekken.

Vijf ook interessante pagina’s