7 aandachtspunten voor de AVG

Algemene verordening gegevensverwerking (AVG)

Geplaatst op: 6 september 2017

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De huidige Nederlandse Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

De AVG zorgt onder meer voor:

Hieronder staan een 7-tal aandachtspunten die onder de AVG (nog meer) van toepassing zijn. Let wel, dit is slechts een greep uit alle aandachtspunten en dus zeker niet volledig!

  1. Data Protection Officer: het aanstellen van een Data Protection Officer (DPO) is niet langer vrijblijvend maar verplicht voor organisaties die aan specifieke kenmerken voldoen; bijvoorbeeld als je groter bent dan 250 man en/of in grote mate persoonsgegevens verwerkt.
  1. Organisaties mogen niet meer persoonsgegevens uitvragen dan noodzakelijk voor het uitvoeren van dienst waarvoor die gegevens worden uitgevraagd.

Voorbeeld: stel je wilt een web based aanmeldprocedure ontwikkelen waar klanten zich kunnen aanmelden voor een webinar (online seminar). Dan is het niet logisch om ook iemands geboortedatum of postadres uit te vragen. En dat mag dan ook niet (meer). Mits het wel van belang is voor specifiek deze dienstverlening (volgen van een webinar) bijvoorbeeld als je alle deelnemers aan het webinar een brochure nastuurt via post. Dit moet je dan wel goed kunnen uitleggen en verantwoorden.

  1. Mensen hebben het recht om persoonsgegevens die worden verwerkt van ze op te vragen bij hun leverancier (vb je energieleverancier). Naast opvragen mag een persoon zijn persoonsgegevens ook laten aanpassen indien ze niet correct zijn, laten verwijderen of bijvoorbeeld verhuizen als ze van leverancier willen wisselen.
  1. Privacy by design; gedurende het gehele ontwikkelingsproces van producten en diensten moet je rekening houden met privacy. Bijvoorbeeld door zo min mogelijk persoonsgegevens te verwerken voor de betreffende dienst. Producten en diensten moeten dus ‘privacy proof’ worden ontwikkeld.
  1. Privacy Impact Assessment (PIA): als je (bijzonder) risicovolle verwerkingen doet van persoonsgegevens dan dien je voorafgaand aan de implementatie ervan een privacy-effect-beoordeling te doen. In specifieke gevallen is zelfs toestemming verreist van de Autoriteit Persoonsgegevens (AP). Een PIA is in ieder geval verplicht bij profiling, grootschalige verwerking van bijzondere persoonsgegevens (bijvoorbeeld gegevens over gezondheid) of monitoring van openbare ruimten.
  1. Een organisatie dient verplicht een schriftelijk (of elektronisch) register bij te houden waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt.
  1. Legacy moet future proof worden. Ben je nu al bezig met het verzamelen van persoonsgegevens (vb een aanmeldprocedure voor een e-mailnieuwsbrief) die ook na 25 mei 2018 nog gebruikt wordt (de procedure en/of de persoonsgegevens die je via die procedure hebt verkregen), dan is het advies om nu al AVG proof ermee te zijn of te worden en eventuele aanpassingen te verrichten op deze (web based) procedure(s). Alles wat je namelijk voor 25 mei 2018 hebt verzameld en daarna nog gebruikt wordt moet AVG proof zijn!

Ons algemene advies is voorafgaand of tijdens het bedenken, uitwerken, uitvoeren van marketing campagnes je eigen afdeling Legal en/of DPO te raadplegen voor advies. Daarnaast kan je voor advies met betrekking tot de AVG contact opnemen met Bas Ter Burg
via 030-7551560.

Meer nieuws