Is jouw bedrijf al klaar voor de AVG?

Over minder dan één maand treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De nieuwe privacywetgeving wordt ook wel de GDPR (General Data Protection Regulation) genoemd en geldt vanaf 25 mei 2018 in heel Europa. Voor nagenoeg alle bedrijven betekent dit dat zij meer verplichtingen krijgen. Is jouw bedrijf er al klaar voor?

Geldt de AVG ook voor jou?

Deze nieuwe privacywetgeving gaat alle instellingen en bedrijven die met persoonsgegevens werken aan. Daar hoeft een bedrijf helemaal niet groot voor te zijn of met enorme hoeveelheden persoonsgegevens te werken, zoals bijvoorbeeld Facebook. Ook zzp'ers en kleine bedrijven moeten zich aan de AVG houden. De meest gangbare persoonsgegevens, zoals telefoonnummers van klanten en opgeslagen afspraken, vallen onder het bereik van deze nieuwe wet.

Waarin verschilt de AVG met de vorige wetgeving?

De Europese AVG is aanzienlijk strenger dan zijn voorganger, de Wet bescherming persoonsgegevens (Wbp), en zal daardoor de privacy van burgers meer waarborgen. Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Bedrijven die persoonsgegevens verwerken, krijgen onder de AVG meer verplichtingen omtrent het opstellen van privacyverklaringen, informatieverschaffing en interne documentatie. Daarnaast moet elk bedrijf meer dan voorheen kunnen aantonen dat het zich aan de nieuwe regelgeving houdt.

De belangrijkste veranderingen op een rijtje

1. Privacyverklaringen moeten beter informeren. Dat betekent in eenvoudige taal heel precies uitleggen wat er gebeurt met persoonsgegevens én mensen op het wijzen van hun rechten: men mag gegevens aanpassen, inzien of vernietigen.
2. Alle producten en diensten moeten in het beginsel rekening houden met privacy. Hiervoor wordt ook wel de term Privacy by default gebruikt: de instellingen van een nieuwe dienst zijn standaard zo privacy-vriendelijk mogelijk.
3. Er moeten verwerkersovereenkomsten gesloten worden met alle leveranciers en afnemers, waarin de omgang met gegevens vastgelegd wordt. Ook moeten mensen akkoord gaan met het doorspelen van gegevens aan derden wanneer diensten uitbesteed worden.
4. Als er risico's aan een verwerking zitten, dan moet er eerst een Privacy Impact Assessment (PIA) uitgevoerd worden om alle privacyrisico's in kaart te brengen en te elimineren waar mogelijk. Pas na de implementatie van de resultaten, mag je de risicovolle verwerking uitvoeren.
5. Onder de AVG moet je alle datalekken intern documenteren, ook al hoeven die datalekken niet gemeld te worden aan de toezichthouder.
6. Als er op grote schaal gezondheidsgegevens of andere gevoelige persoonsgegevens verwerkt worden, dan is het bedrijf verplicht een onafhankelijke Functionaris voor de Gegevensbescherming (FG) aan te stellen. Deze adviseert en rapporteert over naleving van de AVG. Ook in andere gevallen kan een FG nodig zijn.
7. Voldoet je bedrijf niet aan deze regelgeving? Dan loop je het risico op enorme boetes. Onder de Wbp is de maximale boete per overtreding 900.000 euro. Met de komst van de AVG stijgt dit naar 4% van de wereldwijde jaaromzet, op dit moment het astronomische bedrag van 20 miljoen euro.

Is je bedrijf actief in meerdere EU-landen? De AVG kan een bedrijf ook voordeel opleveren. Bedrijven die in meerdere EU-landen actief zijn, gaan er in vele opzichten op vooruit. Eén privacywet in de EU, in plaats van verschillende nationale wetten, scheelt enorm in de administratie- en nalevingskosten. Daarnaast voorkomt de AVG oneerlijke concurrentie door de soepelere regelgeving in andere landen. Ten slotte is er ook meer rechtszekerheid.

Wil je weten wat jij binnen je bedrijf nu alvast kunt doen? Lees dan ons stappenplan, zodat je straks helemaal klaar bent voor de AVG.