Algemene verordening gegevensbescherming (Avg)

Sinds 25 mei 2018 gelden de nieuwe Europese privacyregels: de Algemene verordening gegevensbescherming (Avg, of in het Engels: GDPR). In dit dossier zullen we belangrijke begrippen uit de Avg verder toelichten. Daarbij gaan we in op wat dit specifiek voor ICT-bedrijven betekent. Dat doen we met publicaties, handige tools en nuttige workshops.

Wil je een regelmatige update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.

Wat verandert er voor ICT-bedrijven?

In de basis komt de Avg sterk overeen met de huidige privacywetgeving. Toch zijn er ook een aantal zaken nieuw. Er zijn kleine wijzigingen, zoals een subtiele verandering van juridische termen. Maar er zijn ook een aantal grotere wijzigingen en nieuwe begrippen. Een belangrijk verschil is dat je straks niet alleen je privacy en security goed op orde moet hebben, maar dat ook goed moet vastleggen en communiceren aan je klanten en leveranciers.

We verzamelen in dit dossier de belangrijkste veranderingen uit de Avg. Daarbij gaan we in op wat dit specifiek voor ICT-bedrijven betekent en op de maatregelen die je eventueel moet nemen.

In de Avg Toolkit vind je bijbehorende tools en voorbeelddocumenten. Voor leden is deze Toolkit te downloaden via Mijn.NederlandICT. Niet leden kunnen de Toolkit hier bestellen.

Op de Helpdesk Avg-pagina vind je een overzicht van diensten die we bieden om je te helpen aan de wet te voldoen, inclusief ons Data Pro Stappenplan voor verwerkers.

Hieronder vind je een index van veelgebruikte privacy begrippen. Klik op een term voor het achterliggende artikel met meer uitleg. Waar relevant verwijzen we naar bijbehorende tools uit de Avg Toolkit:

  • Accountability en de documentatieplicht: bedrijven moeten zelf kunnen laten zien dat ze voldoen aan de privacywetgeving. Je kunt daarbij gebruikmaken van het Voorbeeldregister verwerkingen voor de verwerker (onderdeel van de Avg Toolkit).
  • Autoriteit Persoonsgegevens: de Nederlandse toezichthouder krijgt een nieuwe rol met bijvoorbeeld hogere boetebevoegdheden en verdergaande Europese samenwerking.
  • Betrokkenen (data subjects): de personen over wie persoonsgegevens informatie bevatten. Zie ook: 10 vragen en antwoorden over de Avg (pdf)
  • Beveiliging: de Avg stelt dat je passende beveiligingsmaatregelen moet nemen om persoonsgegevens te beschermen, maar noemt geen concrete maatregelen. Zie Principe 5 van de Data Pro Code.
  • Datalekkenprotocol: verwerkers en verantwoordelijken moeten weten hoe te handelen in het geval van een datalek. Leg dit vast in een datalekkenprotocol en maak hier afspraken over met klanten en leveranciers. Zie ook het Voorbeeld Datalekkenprotocol voor verwerkers (onderdeel van de Avg Toolkit).
  • Dataportabiliteit: betrokkenen krijgen het recht om ‘hun’ data mee te nemen.
  • Data Privacy Impact Assessment: zie PIA
  • Data Pro Code: onze invulling van de eisen van de Avg voor verwerkers (ICT-bedrijven). De term Data Pro verwijst naar beide aspecten van gegevensbescherming: juridisch (data processor) en bedrijfsmatig (data professional).
  • Dataprotectie: de bescherming van persoonsgegevens. In de wet ook wel “gegevensbescherming” genoemd (Avg – Nederlands) of “data protection” (GDPR – Engels).
  • Functionaris voor de Gegevensbescherming (Data Protection Officer (DPO)): voor veel bedrijven wordt het hebben van een Functionaris voor de Gegevensbescherming (FG) verplicht. Met onze quickscan krijg je een idee of jouw bedrijf waarschijnlijk een FG nodig heeft.
  • Inzage- en verwijderverzoeken: zie Recht op vergetelheid.
  • ISMS: Information Security Management System, hierin leg je de complete set van maatregelen, processen en procedures vast die je organisatie heeft getroffen voor de beveiliging van persoonsgegevens. Zie ook Beveiliging.
  • Persoonsgegevens: alle gegevens die informatie bevatten over een persoon. Dat kan direct zijn, maar ook indirect als het gegeven tot een persoon te herleiden is. Persoonsgegevens zijn dus niet alleen namen en adressen, maar kunnen ook zijn: IP-adressen, postcodes met huisnummer, foto’s, medische gegevens of bijvoorbeeld (herleidbaar) surfgedrag. Zie ook: 10 vragen en antwoorden over de Avg (pdf).
  • Privacy Impact Assessment: de Avg introduceert de gegevensbeschermingseffectbeoordeling, ook wel Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA) genoemd. Je kunt daarbij gebruikmaken van het Stappenplan Privacy Impact Assessment (onderdeel van de Avg Toolkit).
  • Privacy by design & by default: de Avg introduceert de nieuwe begrippen ‘privacy by design’ en ‘privacy by default’.
  • Privacy statement: een verklaring van de verwerkingsverantwoordelijke (de partij die beslist welke persoonsgegevens worden verwerkt, met welk doel dat gebeurt en op welke manier) aan de betrokkene.
  • Recht op vergetelheid: betrokkenen krijgen uitgebreidere rechten. Eén recht waar veel over gesproken wordt is the right to be forgotton. We hebben daarom een Handleiding Inzage- en verwijderverzoeken opgesteld (onderdeel van de Avg Toolkit).
  • Register voor verwerkingen: zie Accountability.
  • Self-assessment: toets in hoeverre je op weg bent je rol als verwerker onder de Avg in te vullen met ons gratis self-assessment. Je krijgt per mail je resultaten inclusief een toelichting. Het self-assessment is onderdeel van het Data Pro Stappenplan.
  • Standaardclausules voor verwerkingen (standaard contractbepalingen): zie verwerkersovereenkomst.
  • Transparantie: omvat de plicht betrokkenen in klare taal te informeren over wat er met hun gegevens gebeurt (helder privacystatement, we hebben een voorbeeld opgenomen in de Avg Toolkit).
  • Verwerker (processor): de partij die (als leverancier) persoonsgegevens verwerkt in opdracht en ten behoeve van de verwerkingsverantwoordelijke (diens klant). Weet je niet zeker of je verwerker bent? Doe de quickscan op de Helpdesk Avg-pagina.
  • Verwerkingsverantwoordelijke (controller): degene die doel en middelen van de verwerking van persoonsgegevens bepaalt. Weet je niet zeker of je verantwoordelijke of verwerker bent? Doe de quickscan op de Helpdesk Avg-pagina.
  • Verwerkersovereenkomst: de Avg stelt nieuwe eisen aan de verwerkersovereenkomst (zoals afspraken over wat er met de gegevens gebeurt bij het einde van de overeenkomst).