iProspect Logo

Is jouw privacydagboek op orde op 25 mei 2018?

Algemene Verordening Gegevensbescherming - sessie IAB 6 juni 
Privacy by design - neem privacy mee als USP en speel in op toekomst 

De insteek van de nieuwe wetgeving AVG (Algemene Verordening Gegevensbescherming) is een kader te scheppen waarin voor alle belanghebbenden duidelijk is wat de rechten en plichten zijn met betrekking tot opslaan, gebruik en verwerking van persoonsgegevens. In de AVG wordt enkel ingegaan op de privacygegevens, informatie en data gerelateerd aan individuen. Het recht van een individu om op te vragen welke data over diegene wordt verzameld staat centraal. Per 25 mei 2018 is de AVG van toepassing en zal elk bedrijf dat zich bezighoudt met privacygevoelige persoonsgegevens dit op orde moeten hebben en het mogelijk maken om inzage te geven aan individuen. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. Nu hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995.   

Bijzonder aan de AVG, een Nederlandse doorvertaling van de Europese GDPR (General Data Protection Regulation) is dat deze wet ook toepasbaar is buiten de EU. Als niet in de EU gelegen bedrijven zich bezig houden met persoonsgegevens van Europese staatsburgers moeten zij handelen binnen de gestelde wetgeving van de GDPR. 

Wat wil de AVG bereiken?
Meer rechten en bescherming van de privacy van het individu en een duidelijke administratie van de persoonsgegevens. De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens – zal dienen als nationale waakhond.

Enkele inhoudelijke punten van de AVG:

 • Een bedrijf moet binnen 4 weken reageren op een aanvraag inzage dataopslag van individu 
 • Maximaal 4% van de global omzet kan als boete worden gesteld; 
 • Een bedrijf dient binnen 72 uur een datalek te melden; 
 • Raadzaam is om als bedrijf zo snel mogelijk een Data Protection Officer (DPO) aan te stellen die verantwoordelijk is voor het inrichten van de administratie persoonsgegevens; 
 • Bij het vragen voor toestemming gebruik maken privacygevoelige gegevens moet het heel duidelijk zijn waar een individu akkoord op geeft; 
 • Ook versleutelde informatie en volledig geanonimiseerd valt onder de AVG. Deze data dient ook inzichtelijk te zijn bij opvraag en geldt een meldplicht voor.  

Wie zijn er betrokken?
Het speelveld van de AVG omvat de persoonlijke individuen waarvan de persoonsgegevens worden verzameld, degene die in eerste instantie verantwoordelijk is voor de verzameling van de persoonsgegevens en degene die tot doel hebben en de middelen hebben de persoonsgegevens te verwerken.

Belangrijkste wijzigingen in de  AVG ten opzichte van de huidige situatie in Nederland: 

 • Boetebevoegdheid is verhoogd en er is meer budget beschikbaar om mensen aan te nemen voor het toezichthouden op de naleving;  
 • Reikwijdte van de AVG is wereldwijd van toepassing als je gegevens en data verzamelt over Europese burgers voor het aanbieden van producten & diensten; 
 • Meldplicht van een datalek bij de Autoriteits Persoonsgegevens binnen 72 uur. De impact en omvang van het datalek moet inzichtelijk zijn en mogelijk ook gemeld worden aan de betrokken individuen. Dit datalek dient gemeld te worden daar waar jij als bedrijf je hoofdkantoor hebt gevestigd. Verwachting is dat niet alle datalekken gemeld worden maar dat de bedrijven zelf reeds een afweging maken en handelen op basis van gradaties van incidenten;  
 • Belangrijke wijziging! Uitbreiding rechten betrokkenen – Betrokken individuen moeten de mogelijk hebben om toegang te krijgen tot de data die over ze wordt opgeslagen. En ook zo nodig te rectificeren. Het recht op vergetelheid, beperking verwerking, overdraagbaarheid gegevens (data portaliteit), bezwaar, geautomatiseerde individuele besluitvorming zijn alle opgenomen in de AVG;  
 • Volledige inventarisatie - De AVG vereist dat de organisatie een register bijhoudt met alle verwerkingsactiviteiten (bv.: CV’s weggooien) van zowel de papieren als de elektronische dossiers. Wil je compliant zijn is het raadzaam om een administratie bij te gaan houden van al deze handelingen; 
 • Aantoonbaarheid, elke organisatie moet kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.  

Opslag van Business-to-Business gegevens (rechtspersonen) valt buiten de scope van de AVG.

TIP: zorg dat de communicatie aansluit bij een mogelijk datalek, hoe communiceer je dat. Maar ook al voorafgaand aan een mogelijk incident. Neem in je privacy statement op met wie de consument contact kan opnemen voor inzage in zijn verwerking persoonsgegevens. Het is nu mogelijk dat betrokkenen rechtstreeks naar de verwerker stapt om inzage te vragen en z’n rechten uit te oefenen. Wees hierop voorbereid. 

Ook wordt de toestemmingsvereiste nog belangrijker. In je toestemmingsvraag moet je nu ook al vragen welke verwerkers ermee aan de slag gaan. Wees concreet over wat je ermee gaat doen, helder en begrijpelijk. 

Vermeld op deze pagina ook duidelijk wie de DPO (Data Protection Officer) is van het bedrijf, en zijn contactgegevens.