De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die op 25 mei 2018 in werking is getreden. De AVG is opgesteld om de privacy en beveiliging van persoongegevens van alle burgers binnen de EU te garanderen. Hieronder de algemene verplichtingen:
Toestemming en grondslag
Tenzij je een andere grond hebt om persoonsgegevens te verwerken, moet je expliciete toestemming krijgen van mensen voordat je hun gegevens verzamelt en gebruikt. Die toestemming moet aan specifieke voorwaarden voldoen, bijvoorbeeld dat deze aantoonbaar, expliciet en vrijelijk is gegeven en dat de toestemming op eenzelfde wijze op ieder moment kan worden ingetrokken. Andere gronden om persoonsgegevens te verwerken, zijn bijvoorbeeld het uitvoeren van een overeenkomst, het nakomen van een wettelijke verplichting of het hebben van een gerechtvaardigd belang.
Rechten van betrokkenen
Mensen (onder AVG ‘betrokkenen’ genoemd) hebben verschillende rechten onder de AVG, zoals het recht op inzage, correctie en verwijdering van hun gegevens. Ze kunnen ook bezwaar maken tegen de verwerking van hun gegevens. Je moet betrokkenen informeren over hun rechten. Dat kan via een privacyverklaring.
Verantwoording en Transparantie
Het is belangrijk om in kaart te brengen welke gegevens je van wie verzamelt, waarom je de gegevens verzamelt, hoe je ze gebruikt en hoe lang je ze bewaart. Dit moet je vastleggen in een verwerkingsregister. Vervolgens moet je dit ook duidelijk en begrijpelijk kunnen uitleggen aan de betrokkenen van wie je gegevens verwerkt. Dit doe je via een privacyverklaring.
Beveiliging
Het is essentieel om passende technische en organisatorische maatregelen te nemen om de gegevens die je verzamelt te beschermen. Denk aan encryptie en regelmatige beveiligingsaudits, maar ook aan bepaald gedrag op de werkvloer. Je moet ook kunnen aantonen dat je die maatregelen hebt genomen.
Meldplicht datalekken
Als er een datalek optreedt, moet je dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens en, in sommige gevallen, ook aan de betrokkenen wiens data is gelekt. Het is aan de ene kant dus belangrijk dat alle beveiligingsincidenten bekend zijn en aan de andere kant dat duidelijk is hoe je hiermee moet omgaan. Een datalekprotocol kan daarbij helpen. Daarnaast moeten alle incidenten in een incidentenregister worden opgeslagen.
Andere belangrijke aandachtspunten
Privacy by Design / privacy by Default
Je moet vanaf het begin van elk project rekening houden met privacy en gegevensbescherming. Standaardinstellingen moeten zo privacy vriendelijk mogelijk zijn.
Functionaris voor Gegevensbescherming
In sommige gevallen (dus ook bij Bouwpas) moet je een functionaris gegevensbescherming (‘FG’) aanstellen. Deze persoon houdt toezicht op de naleving van de AVG binnen je organisatie en kan indien nodig met de toezichthouder, de Autoriteit Persoonsgegevens (‘AP’), communiceren.
Hieronder de belangrijke principes uit de AVG:
- Rechtmatigheid, behoorlijkheid en transparantie;
- Doelbinding;
- Dataminimalisatie;
- Juistheid;
- Opslagbeperking;
- Vertrouwelijkheid en integriteit;
- Verantwoordingsplicht.
Voor meer informatie over de AVG, bezoek even de website van de Autoriteit Persoonsgegevens:
De AVG in het kort | Autoriteit Persoonsgegevens
De AP was de eerste jaren vooral bezig met voorlichting geven. Echter is nu haar rol als toezichthouder belangrijker geworden. Dit betekent dat deze organisatie nu meer aandacht gaat besteden aan handhaven en boeten opleggen. Als je de juiste stappen neemt en bewust bent van de verplichtingen, kan je ervoor zorgen dat je bedrijf voldoet aan deze regelgeving.
Nuttige links met informatie over de AVG:
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.