De nieuwe privacy wetgeving gaat in op 25 mei 2018.  De AVG heeft impact op alle organisaties binnen de EU en de boetes zijn hoog. AVG staat voor Algemene verordening gegevensbescherming. In het Engels heet deze wet GDPR. GDPR staat voor General Data Protection Regulation. Het juiste balans vinden tussen het gebruik van persoonsgegevens en de bescherming van privacy is een grote uitdaging in dit digitale tijdperk. Maar wat is de AVG eigenlijk en wat betekent het voor uw bedrijf? In dit blog geven we duidelijkheid en inzicht in enkele belangrijke richtlijnen. Maar laten we beginnen bij het begin.

Wat is de AVG eigenlijk?

De AVG staat voor ‘Algemene Verordening Gegevensbescherming’. Deze nieuwe wet gaat in per 25 mei 2018 en vervangt de huidige wet bescherming persoonsgegevens. Het is een Europese wet, bedoeld om zaken rondom privacy en data Europees te regelen. Er worden strengere eisen gesteld aan de manier waarop persoonsgegevens worden verwerkt.

Wat zijn persoonsgegevens?

De definitie van persoonsgegevens volgens de AVG: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. N.a.w.-gegevens, e-mailadressen, ip-adressen, locatiegegevens en smartphone-identifiers (kunnen) persoonsgegevens zijn. Maar ook het klantprofiel, aankoopgeschiedenis of klikgedrag van die persoon valt onder de persoonsgegevens. Het gaat om “alle informatie over”.

De belangrijkste rechten van personen in de nieuwe wetgeving zijn:

  • Recht op informatie;
  • Recht om in te zien;
  • Recht op wijzigen;
  • Recht om ’vergeten te worden’;
  • Recht op overdracht.

Wat betekent het voor uw organisatie?

U beschikt als bedrijf over een enorme hoeveelheid data, vaak verspreid over verschillende systemen. Vanaf eind mei 2018 is het verplicht om te weten welke data er is, waar deze is opgeslagen, hoe deze beveiligd wordt en waarom u bepaalde informatie heeft en of u er toestemming voor heeft gevraagd.

Alle organisaties, ook zzp’ers en kleine MKB’ers, die binnen de Europese Unie persoonsgegevens verwerken, krijgen te maken met de nieuwe privacy wetgeving. U heeft vanaf eind mei 2018 een verantwoordingsplicht.  Dit houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. Dit heeft invloed op alle processen en communicatiestromen binnen uw organisatie. Veilige en goed communicerende IT-systemen zijn essentieel.

Dit vraagt voorbereiding en een goede aanpak!

Hoge boetes!

Voldoet u niet aan de eisen van de nieuwe wetgeving, dan zijn de boetes hoog! Er geldt straks een tweeledig boeteregime. Voor zwaardere verplichtingen geldt een hogere maximumboete dan voor minder zware verplichtingen. Een paar voorbeelden:

Zwaar – boete van 20 miljoen euro of 4 procent van de omzet

  • Als u de basisbeginselen van de AVG overtreedt, zoals de voorwaarden voor het vragen van toestemming.
  • Voor het overtreden van de verplichtingen met betrekking tot de rechten van de individuen, zoals het recht op dataportabiliteit (gegevensoverdraagbaarheid) of recht van verzet.

Minder zwaar – boete van 10 miljoen euro of 2 procent van de omzet

  • Het niet (of te weinig) implementeren van maatregelen in verband met privacy by design of privacy by default.
  • Het inschakelen van een verwerker zonder de wettelijke verplichtingen voor een verwerkersovereenkomst.

 

Er zijn behalve deze boetes ook aanvullende gevolgen waarmee u rekening moet houden, te weten wanneer:

  • de consument u aansprakelijk stelt;
  • de consument in eigen land gaat procederen over schade.