AVG: Wat staat je te wachten?

De glazenbol, een zicht op de toekomst..
Afgelopen woensdag heeft er weer een bijeenkomst van CijferAdvies plaatsgevonden, met als thema: “Wat staat je te wachten?” Een belangrijk onderwerp dat we hebben behandeld, is de AVG (Algemene Verordening Gegevensbescherming).

De AVG is vanaf 25 mei van toepassing. Dit houdt in dat ervan af die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De reden waarom er nieuwe Europese privacywetgeving is, is omdat er in de EU voor elke lidstaat een eigen privacywet bestaat. Wel zijn al deze nationale wetten gebaseerd op de Europese privacyrichtlijn uit 1995. Zo hebben wij in Nederland nu nog de Wet bescherming persoonsgegevens (Wbp). In dit artikel lees je wat er zal veranderen voor jouw organisatie, voor de werknemers en daarnaast wat de gevolgen zijn bij overtreding.

Gevolgen organisatie

Een van de belangrijkste gevolgen voor je organisatie, is dat je meer verplichtingen hebt bij het verwerken van persoonsgegevens. Je krijgt bijvoorbeeld te maken met registratieplicht. Er moet een overzicht opgesteld worden waarin alle verwerkingen van persoonsgegevens inzichtelijk zijn gemaakt en bijgehouden worden.

Gevolgen werknemers

Gevolgen voor werknemers is onder andere dat ze meer rechten krijgen wanneer het gaat over de verwerking van hun persoonsgegevens. Dit houdt in dat er vaker om toestemming zou moeten worden gevraagd. Wanneer de organisatie niet kan aantonen dat een verwerking van persoonsgegevens strikt noodzakelijk is, moet hier expliciet om toestemming gevraagd worden. De organisatie moet kunnen bewijzen dat de werknemers hier toestemming voor hebben gegeven. Ook moet het mogelijk zijn voor de werknemers, om hun toestemming weer in te trekken. Het is belangrijk dat werknemers hier goed over worden ingelicht door hun werkgever.

De gevolgen bij Overtreding

Wanneer je een overtreding begaat met betrekking tot de AVG, loopt je organisatie risico op hoge boetes. De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van de wereldwijze jaaromzet.

 

DPIA

DPIA staat voor Data Protection Impact Asessment. In het Nederlands noem je dit ook wel gegevensbeschermings effectbeoordeling. De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Zodra de AVG geldt, hoeven organisaties niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. De organisaties waar dit in ieder geval voor geldt, zijn als volgt:

  • Organisaties die systematisch en uitvoerig persoonlijke aspecten evalueren, waaronder profiling.
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
  • Organisaties die op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied, zoals bijvoorbeeld met cameratoezicht.

Buiten deze 3 situaties geeft de AVG geen overzicht van de verwerkingen met een hoog risico. De Europese privacy-toezichthouders hebben criteria opgesteld om het risico te bepalen. Ook publiceert het AP op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.

 

Bronnen:
www.rendement.nl

www.autoriteitpersoongegevens.nl

 

De CijferWijzer

Ontvang onze wekelijkse nieuwsbrief met het laatste nieuws
op het gebied van ondernemen, financiële zaken en administratie.

Something went wrong. Please check your entries and try again.