Algemene verordening gegevensbescherming (Avg)

Volgend jaar gaan nieuwe Europese privacyregels gelden: de Algemene verordening gegevensbescherming (Avg). In aanloop naar 25 mei 2018 zullen we binnen dit dossier de belangrijkste veranderingen uit de Avg verder toelichten. Daarbij gaan we in op wat dit specifiek voor ICT-bedrijven betekent. Dat doen we met publicaties, handige tools en nuttige workshops.

De Avg geldt straks in Nederland rechtstreeks als wet, zelfs als de wetgever niets regelt. De Avg neemt zo de plaats in van de Wet bescherming persoonsgegevens (Wbp). Tot aan 25 mei 2018 moet je voldoen aan de eisen uit de Wbp en voor die datum moet je je bedrijfsvoering aangepast hebben aan de eisen van de Avg. Dit is binnen:

Wat verandert er voor ICT-bedrijven?

Uiteindelijk blijft er veel hetzelfde. Een goed privacybeleid, een begrijpelijk privacystatement, goede afspraken tussen bewerkers en verantwoordelijken, een procedure voor datalekken: het was al belangrijk en het blijft belangrijk. Toch zijn er ook een aantal zaken nieuw. Er zijn kleine wijzigingen, zoals een subtiele verandering van juridische termen. In de Avg wordt gesproken van ‘verwerker’ in plaats van ‘bewerker en ‘verwerkingsverantwoordelijke’ in plaats van ‘verantwoordelijke’. Maar er zijn ook een aantal grotere wijzigingen en nieuwe begrippen.

Ben jij goed voorbereid op de verordening?

In aanloop naar 25 mei 2018 zullen we in dit dossier de belangrijkste veranderingen uit de Algemene verordening gegevensbescherming verder toelichten. Daarbij gaan we in op wat dit specifiek voor ICT-bedrijven betekent en op de maatregelen die je eventueel moet nemen. Dat doen we met publicaties, handige tools en nuttige workshops.

Wil je een regelmatige update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.

De volgende onderwerpen komen in deze updates aan bod:

  1. Functionaris voor de Gegevensbescherming: voor veel bedrijven wordt het hebben van een Functionaris voor de Gegevensbescherming (FG), in het Engels: Data Protection Officer (DPO), verplicht. Met onze quickscan krijg je een idee of jouw bedrijf waarschijnlijk ook een FG nodig heeft. Uit een eerste inventarisatie blijkt dat ruim 40% van de inzenders van de quickscan waarschijnlijk moet investeren in een Functionaris voor de Gegevensbescherming.
  2. Transparantie: omvat de plicht betrokkenen in klare taal te informeren over wat er met hun gegevens gebeurt (helder privacy statement).
  3. Privacy by design & by default: de Avg introduceert de nieuwe begrippen ‘privacy by design’ en ‘privacy by default’.
  4. Recht op vergetelheid: betrokkenen krijgen uitgebreidere rechten. Eén recht waar veel over gesproken wordt is the right to be forgotton. Speciaal voor leden hebben we een Handleiding Inzage- en verwijderverzoeken opgesteld (inloggen op MijnNederlandICT).
  5. Accountability en de documentatieplicht: bedrijven moeten zelf kunnen laten zien dat ze voldoen aan de privacy-wetgeving. Leden kunnen daarbij gebruikmaken van het Voorbeeldregister verwerkingen voor de verwerker (te vinden via MijnNederlandICT).
  6. Privacy Impact Assessment: de Avg introduceert de gegevensbeschermingseffectbeoordeling, ook wel Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA) genoemd. Leden kunnen daarbij gebruikmaken van het Stappenplan Privacy Impact Assessment (te vinden via MijnNederlandICT).
  7. Autoriteit Persoonsgegevens: de Nederlandse toezichthouder krijgt een nieuwe rol met bijvoorbeeld hogere boetebevoegdheden en verdergaande Europese samenwerking.
  8. Dataportabiliteit: betrokkenen krijgen het recht om ‘hun’ data mee te nemen.
  9. Verwerkersovereenkomst: de Avg stelt nieuwe eisen aan de bewerkersovereenkomst (zoals afspraken over wat er met de gegevens gebeurt bij het einde van de overeenkomst).
mm
Helpdesk Juridisch

We helpen je graag met juridische vragen. Neem contact op via:

jurhelp@nederlandict.nl (0348) 49 36 36

Gerelateerd

Column Lotte de Bruijn: ‘Privacy-paniek’

Eerst een waarschuwing. Dit wordt een column over de aankomende Europese privacywetgeving. Maar blijf doorlezen, want ik ga je niet bombarderen met ingewikkelde juridische terminologie. Ik ga je ook niet bang maken met verhalen over dreigende megaboetes. “Bedrijven in paniek…”, kopte het Financieel Dagblad een tijdje terug. Ik denk dat er voor het gemiddelde ICT-bedrijf geen reden is voor paniek. Sterker nog, de nieuwe regels zouden de digitale transformatie wel eens kunnen bevorderen.