De wet AVG

Vanaf 28 mei 2018 wordt overal in Europa de Algemene verordening gegevensbescherming van kracht. Deze wet is in Nederland de vervanger van de Wet bescherming persoonsgegevens en stelt strengere eisen aan bedrijven. Het is dus voor organisaties zaak zich goed voor te bereiden. Vanaf 28 mei wordt er namelijk ook door de Autoriteit Persoonsgegevens gecontroleerd op navolging van de nieuwe regels en kunnen boetes worden uitgedeeld, dus het is belangrijk om nu al voorbereid te zijn. Deze boetes kunnen oplopen tot wel 20 miljoen euro.

Om je te helpen voor te bereiden hebben wij de belangrijkste stappen op een rijtje gezet, zodat je precies weet wat je moet veranderen en hoe dit moet. Want de afgelopen jaren is steeds weer gebleken dat je als bedrijf een grote verantwoordelijkheid hebt als je werkt met privacy gevoelige informatie van je gebruikers. De AVG kan je helpen om hier beter mee om te gaan.

Wat verandert er na de invoering van de AVG?

Het belangrijkste wat verandert met de invoering van de AVG is dat de rechten van de betrokkenen versterkt worden. Organisaties krijgen, om deze rechten te waarborgen. meer verplichtingen met betrekking tot hoe ze met gebruikersgegevens moeten omgaan. Daarnaast ligt er meer de nadruk op bedrijven om aan te kunnen tonen dat ze zich aan de wet houden. In veel gevallen verandert inhoudelijk misschien wel weinig voor je organisatie, maar de AVG vraagt wel van je dat je veel stappen (opnieuw) in kaart brengt. De eerste stap die nodig is om je voor te bereiden op de invoering van de AVG is dat de managers of andere uitvoerenden in de organisatie voor hun afdeling bedenken wat de impact van de AVG is en wat er nodig is om te voldoen aan de AVG. Per organisatie is het verschillend wat de AVG precies betekent en sommige aspecten van de AVG kosten relatief veel tijd om te implementeren. Zo moet iedere organisatie een register van verwerkingsactiviteiten bijhouden. Dit kan voor een organisatie, die werkt met veel gegevens, een kostbare bezigheid kan zijn.

Hoe ga je om met nieuwe regels van de AVG?

Er zijn een aantal aspecten van de AVG die direct impact hebben op hoe je organisatie omgaat met gebruikersgegevens. Allereerst is het bijhouden van een register van verwerkingsactiviteiten, ook wel het verwerkingsregister genoemd, nu verplicht. Hiermee kun je aantonen dat je in overeenstemming met de AVG handelt. Ook heb je het register nodig als gebruikers vragen om hun gegevens te corrigeren of te verwijderen.

Daarnaast is iedereen verplicht een data protection impact assessment (DPIA) uit te voeren. Hiermee beng je de privacy risico’s van de verschillende gegevensverwerkingen in kaart. Komt er nu uit de DPIA dat je een verhoogd risico hebt? Dan kun je vooraf met de Autoriteit Persoonsgegevens in overleg, zodat je zeker weet dat je niet in strijd met de AVG handelt.

In de AVG staan ook ‘privacy by default’ en ‘privacy by design’ centraal. Dat betekent dat privacy een belangrijke rol speelt bij alles wat je organisatie doet. Denk aan het standaard niet aanvinken van het vakje ‘Ja, ik wil aanbiedingen ontvangen’ en het niet onnodig registeren van de locatie van gebruikers. Wil je dus voldoen aan de AVG, ook in de toekomst, dan zal je deze concepten centraal moeten stellen bij je verdere productontwikkeling. Omdat met de AVG deze concepten centraal staan kunnen hier ook hoge boetes voor worden uitgedeeld. Bij een overtreding van de beginselen of grondslagen van de AVG of het inbreuk maken op de privacy van je gebruikers kan je worden beboet met 20 miljoen euro.

Voor het niet nakomen van bepaalde, voornamelijk procedurele, verplichtingen kun je daarnaast een boete opgelegd krijgen van maximaal 10 miljoen euro. Maar deze boetes zijn natuurlijk niet de belangrijkste reden om als bedrijf te voldoen aan de AVG: consumenten vinden het steeds belangrijker om te weten wat er met hun informatie gebeurt en daar moet je als bedrijf rekening mee houden.

Belangrijkste wijzigingen voor jouw bedrijf naar aanleiding van de AVG

De belangrijkste wijzigingen voor jouw organisatie, naar aanleiding van de AVG, wisselen per bedrijf. De meeste bedrijven zullen de meeste tijd kwijt zijn aan het opzetten van het verwerkingsregister. Daarnaast is het belangrijk dat je organisatie begint te wennen aan de concepten ‘privacy by default’ en ‘privacy by design’, want ook hier zet de AVG hoog op in. Het wordt steeds belangrijker om privacy-gefocust te worden, niet alleen vanuit de wetgeving, maar ook gebruikers geven steeds vaker aan dat privacy voor hen belangrijk is. Daarnaast is het goed om als bedrijf consumenten tegen zichzelf in bescherming te nemen, door hun privacy te beschermen. Niet alleen wordt dat gewaardeerd door consumenten, maar het is ook jouw verantwoordelijkheid als je als organisatie met gevoelige informatie werkt.