Gegevensbescherming (AVG)

Op 25 mei 2018 is de nieuwe Europese wet op gegevensbescherming (AVG) in werking getreden. Deze wet borduurt voort op bestaande wetgeving, maar desondanks was er voor veel bedrijven werk aan de winkel om te kunnen voldoen aan deze wet.

In een notendop is de AVG gebaseerd op twee vragen:

  1. Heeft u een grondslag om bepaalde persoonsgegevens op te slaan of te verwerken?
  2. Heeft u hiervoor toestemming van de betrokken personen?

Grondslag

De eerste vraag die een bedrijf zich moet stellen is: zijn deze gegevens nodig voor onze werkzaamheden, en zijn de betreffende werkzaamheden nodig voor de bedrijfsvoering? 

De combinatie van bepaalde gegevens is daarbij ook van belang. Een naam alleen is bijvoorbeeld niet tot een bepaald persoon te herleiden (namen kunnen ook gefingeerd worden), maar wél wanneer deze in combinatie met een geboortedatum wordt opgeslagen. 

Op deze manier moeten bedrijven bepalen welke gegevens zij nodig hebben; irrelevante persoonsgegevens moeten verwijderd worden.

Toestemming

Van elk persoon, wiens gegevens opgeslagen en/of verwerkt worden, dient er een expliciete toestemming te zijn. Het is dus niet voldoende om naar de algemene voorwaarden te verwijzen.

Afhankelijk van de betreffende groep zijn er verschillende manieren om toestemming te verkrijgen.

Andersom geldt dit overigens ook: wanneer een persoon u vraagt om gegevens te verwijderen die niet langer noodzakelijk zijn, dient u hier gehoor aan te geven.

Aanvullende verplichtingen

Wanneer u eenmaal geborgd heeft dat u – met toestemming – alleen relevante gegevens opslaat, zijn er nog een aantal andere zaken waaraan u moet voldoen. 

Elk bedrijf hoort bijvoorbeeld een functionaris gegevensbescherming aan te stellen, die het aanspreekpunt is voor AVG-gerelateerde zaken. Verder moet het bedrijf een register opstellen waarin voor elke groep van personen wordt bepaald welke gegevens er worden opgeslagen. Bij een webshop zullen er bijvoorbeeld van klanten andere gegevens worden opgeslagen dan van werknemers.

Als er bepaalde persoonsgegevens met derden gedeeld worden, zal hiervoor een verwerkers- of bewerkersovereenkomst opgesteld moeten worden. Bovendien moeten de betreffende personen op de hoogte gesteld worden van welke derde partijen er óók over hun gegevens beschikken.


Tot slot zijn bedrijven verplicht om datalekken actief op te sporen en te registreren. In bepaalde ernstige gevallen dient een datalek aan de Autoriteit Persoonsgegevens (AP) gemeld te worden.

Kies voor Certified Services

Door onze jarenlange ervaring met wetgeving in het algemeen en persoonsgegevens in het bijzonder kunnen wij samen met u een toegepast en goedgekeurd privacybeleid opstellen.

Van het opstellen van een protocol voor datalekken tot een complete herziening van uw bestaande beleid: Onze adviseur bespreekt graag uw behoeften en wensen, in combinatie met de verplichtingen die u als bedrijf heeft.

contact opnemen of
direct inschrijven

Laat onze service voor u werken!

Interesse in advies over de AVG? Wij staan u graag te woord voor meer informatie! Neem contact met ons op via 085-4891779 of via info@certifiedservices.nl.