Algemene Verordening Gegevensbescherming (AVG Wet)

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde
privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.  Er komt dus een nieuwe Europese wet die behoorlijk wat impact heeft op de manier waarop we met persoonsgegevens omgaan.

Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen meer en nieuwe privacy rechten en hun bestaande rechten worden sterker. Wij verzamelen persoonsgegevens (o.a. emailadressen voor de nieuwsbrief), en dienen hiervoor aan bepaalde verplichtingen te doen.  De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Persoonsgegevens zijn niet alleen digitale gegevens die we verspreiden via onze site of social media, maar denk bijvoorbeeld ook aan de persoonsgegevens die wij delen stukjes in de (carnavals-)krant of gegevens van de prinskandidaten tijdens het halfvasten-stemmen van de prins.

Een korte uitleg vindt u hier: AVG in 1 minuut

Vanaf 25 mei 2018 is de nieuwe wet van kracht, en er zal gecontroleerd kunnen worden of wij als organisatie voldoen aan deze wet. Boetes op het niet naleven van de regels kunnen hoog oplopen (<4% van totale omzet). Vandaar dat we allemaal bewuster moeten omgaan met persoonlijke gegevens die verwerkt en verspreid worden.

Onder de AVG krijgen de mensen van wie persoonsgegevens verwerkt worden meer en verbeterde
privacy rechten.  Voorheen bestond bijvoorbeeld al het recht op inzage en het recht op correctie
en verwijdering. Er zijn ook nieuwe rechten zoals bijvoorbeeld het recht op
dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en
vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen mensen bij
de AP (Autoriteit Persoonsgegevens) klachten indienen over de manier waarop er met hun gegevens
wordt omgegaan. De AP is verplicht deze klachten vervolgens te behandelen.

Wij dienen als organisatie nu onze gegevensverwerking in kaart te brengen. We moeten aan kunnen tonen welke persoongegevens wij verwerken en met welk doel we dit doen. Ook waar de gegevens vandaan komen en met wie wij ze delen.

Als betrokkenen ons vragen om zijn/haar gegevens te veranderen of te verwijderen, moet dit ook doorgegeven worden aan de organisatie(s) waarmee wij de gegevens gedeeld hebben.

Privacy by design & privacy by default
De AVG verplicht ons vertrouwd te raken met de uitgangspunten van privacy
by design en privacy by default. We dienen dus bewuster en voorzichtiger om te gaan met  het delen van persoonlijke gegevens.
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten zorg gedragen
wordt voor de goede bescherming van persoonsgegevens.
Privacy by default houdt in dat technische en organisatorische maatregelen moeten worden
genomen om ervoor te zorgen dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk
zijn voor het specifieke doel dat u wilt bereiken.

We gaan rekening houden met het feit dat onder de AVG organisaties verplicht kunnen worden om een functionaris voor de gegevensverwerking (FG) aan te stellen. Wij verwachten niet dat dit bij onze kleinschalige carnavalsstichting het geval zal zijn.

Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen
aan de eigen registratie van de datalekken die zich in organisaties hebben voorgedaan.  Wij dienen alle
datalekken zelf te documenteren. Met deze documentatie moet de AP vervolgens kunnen controleren
of uw organisatie zich aan deze meldplicht heeft gehouden. Dit gaat veel verder dan de huidige
protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.

Toestemming
Voor sommige gegevensverwerkingen is toestemming nodig van de betrokkenen. De AVG stelt
strengere eisen aan die toestemming. We dienen dus goed te evalueren op welke manier wij hiervoor
toestemming vragen, krijgen en registrereren.
Nieuw is dat we ook moeten kunnen aantonen dat het een geldige toestemming is (dus dat hij van
mensen is gekregen met het doel om persoonsgegevens te verwerken). En dat het voor betrokkenen
net zo makkelijk moet zijn om hun toestemming weer in te trekken.

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Top