top

Algemene Verordening Gegevensbescherming (AVG)

18 april 2018


De Algemene Verordening Gegevensbescherming (AVG) is vanaf 25 mei 2018 van toepassing en vervangt de Wet bescherming persoonsgegevens (WBp). De AVG is de privacywet, die gebaseerd is op de GPDR (General Data Protection Regulation) die geldt in de hele Europese Economische Ruimte (EER). Dankzij de GPDR is de bescherming van persoonsgegeven voor iedereen binnen de EER op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels.

Met de AVG verandert er veel op het gebied van hoe organisaties gegevens mogen verzamelen en de rechten van personen van wie gegevens verzameld worden. De AVG is een wet die gericht is op privacy en bescherming van persoonsgegevens. Er wordt veel aandacht gegeven aan hoe organisaties omgaan met gegevens, oftewel het verwerken ervan.

‘Verwerking’ van persoonsgegevens betekent alles wat je hiermee kunt doen: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken of doorzenden, verspreiden of op andere wijze ter beschikking stellen, afschermen, wissen of vernietigen. Daarbij is met name het doel van de verwerking belangrijk. Dat bepaalt bijvoorbeeld welke types persoonsgegevens er mogen worden verwerkt, hoe lang ze bewaard mogen blijven en welke veiligheidsmaatregelen passend zijn.

Iedere organisatie moet vastleggen wat de verplichtingen zijn op grond van de AVG en hoe daar binnen de organisatie invulling aan wordt gegeven. Voor alle organisaties is er ook de plicht om een intern verwerkingsregister bij te houden met alle verwerkingsactiviteiten. Een verwerkingsverantwoordelijke moet kunnen aantonen dat de verwerking van persoonsgegevens volgens de regels van de AVG gaat, met andere woorden, stelt het doel, de doelgroep en de daarvoor benodigde persoonsgegevens vast.

Werk je als verantwoordelijke met een leverancier (verwerker), dan wil je als bedrijf garanties dat deze partij zich ook aan de AVG houdt. Om deze garanties te krijgen stelt de verwerkingsverantwoordelijke en verwerker samen een verwerkingsovereenkomst op. Huurt de verwerker vervolgens een ander bedrijf in om bepaalde gegevens verder te verwerken, dan valt deze volgende leverancier (een zogenaamde subverwerker) ook onder de verwerkersovereenkomst. In de meeste gevallen is SMG een verwerker, waarbij gewerkt wordt met aangeleverde persoonsgegevens (vaak adressen) van een opdrachtgever (de verantwoordelijke).

SMG heeft een drietal modelovereenkomsten beschikbaar. Deze zorgen ervoor dat SMG alles rondom de AVG met zowel klanten als leveranciers op orde te heeft:

  1. Indien wij zelf verwerkingsverantwoordelijke zijn en verwerkers inschakelen;
  2. Indien wij zelf verwerker zijn, en eventueel subverwerkers inschakelen;
  3. Subverwerkersovereenkomsten voor alle leveranciers die persoonsgegevens voor ons en onze opdrachtgevers verwerken.

SMG voorbereid op de AVG
SMG is al jaren gecertificeerd voor ISO 27001 en ISO 27002 (informatiebeveiliging). Dit is een goede voorzet voor de uitvoering van de AVG. ISO 27001 beschrijft alle technische en organisatorische maatregelen die nodig zijn voor een veilige en bedrijfszekere omgang met alle digitale informatie. Het ISMS (Information Security Management System) zorgt er voor dat informatiebeveiliging constant wordt verbeterd en SMG de bedrijfsrisico’s en informatiebeveiligingsmaatregelen heeft geborgd. ISO 27002 is de ‘best practice’, of anders gezegd, een lijst met aandachtsgebieden en maatregelen die je moet en kunt nemen voor een goede informatiebeveiliging in de organisatie.

Functionaris voor gegevensbescherming (FG)
SMG heeft een Functionaris voor de Gegevensbescherming (FG) aangesteld. De FG informeert, controleert en adviseert het bedrijf over het naleven en implementeren van de AVG. De FG heeft al in een vroeg stadium de privacy-risico’s in beeld gebracht en een Privacy Impact Assessment (PIA) uitgevoerd.
Ook heeft SMG al diverse (sub-)verwerkersovereenkomsten met haar relaties vastgelegd.

Ook AVG-proof?
Meer weten over de gevolgen die het werken met persoonsgegevens voor impact heeft op jouw bedrijf? Onze Functionaris Gegevensbescherming, Frits Ruwhoff, vertelt je er graag over. Laat je door hem voorlichten, zodat je snel inzicht hebt in de mogelijke risico’s. Frits is bereikbaar via 06-06-83905681 of per mail f.ruwhoff@smg-groep.nl

Meer informatie?
Uitgebreide informatie over de AVG is verder te vinden op de website van de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nlseperator
seperator