AVG (GDPR)

Wat doet jouw organisatie met persoonsgegevens?

De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als General Data Protection Regulation (GDPR), is sinds 2018 van toepassing in de hele Europese Unie. De AVG bepaalt hoe organisaties met persoonsgegevens moeten omgaan: welke gegevens je mag verwerken, op welke grondslag, hoe je de rechten van betrokkenen waarborgt en hoe je aantoonbaar verantwoording aflegt. 

In Nederland is de AVG aangevuld met de Uitvoeringswet AVG (UAVG), die nationale uitwerkingen geeft op punten waar de AVG ruimte laat aan lidstaten. De Autoriteit Persoonsgegevens (AP) houdt toezicht op naleving. 

Plan een kennismaking
Man zit achter een laptop aan een houten tafel, kijkt tevreden, draagt een zwart vest, wit overhemd, bevindt zich in een interieur met witte muur.

Voor wie is de AVG relevant?

Voor vrijwel elke organisatie. Zodra je persoonsgegevens verwerkt, van een mailadres in je nieuwsbriefdatabase tot een patiëntendossier in je EPD, val je onder de AVG. De omvang van je verplichtingen hangt af van wat je verwerkt, hoeveel, hoe gevoelig en met welk doel. 

1.

Werkgevers verwerken persoonsgegevens van medewerkers.

2.

Webshops verwerken klantgegevens en betaaldata.

3.

Zorgaanbieders verwerken bijzondere persoonsgegevens (medische gegevens), met extra strenge eisen.

4.

SaaS-bedrijven verwerken vaak data van eindgebruikers van hun klanten, meestal in de rol van verwerker.

5.

Onderwijsinstellingen verwerken gegevens van leerlingen, studenten en hun ouders.

Wat vraagt de AVG van je organisatie?

  • Een actueel overzicht van welke persoonsgegevens je verwerkt, waarom, hoe lang en met wie je ze deelt.

  • Voor elke verwerking moet er een wettelijke basis zijn: toestemming, contract, wettelijke verplichting, vitaal belang, publieke taak of gerechtvaardigd belang.

  • Mensen hebben recht op inzage, correctie, verwijdering, beperking, dataportabiliteit en bezwaar. Je moet daar binnen een maand op kunnen reageren.

  • Als je persoonsgegevens laat verwerken door derden (bijvoorbeeld een SaaS-leverancier), moet daar een verwerkersovereenkomst voor zijn.

  • Bij hoog-risico verwerkingen ben je verplicht een Data Protection Impact Assessment uit te voeren: een formele beoordeling van privacyrisico's en mitigerende maatregelen.

  • Een datalek meld je binnen 72 uur bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij de betrokkenen zelf.

  • Voor bepaalde organisaties (publieke organisaties, grootschalige verwerking, bijzondere gegevens als kerntaak) is een FG wettelijk verplicht.

De AVG kent een aantal kernverplichtingen waar elke organisatie iets mee moet.

Hoe helpt Rethink bij de AVG?

We helpen organisaties hun privacybeheer op orde te brengen: pragmatisch, lean en passend bij wat de organisatie écht doet met persoonsgegevens. Geen handboek dat niemand leest, wel een verwerkingsregister dat klopt, verwerkersovereenkomsten die juridisch en operationeel deugen, en een datalekprocedure die werkt onder druk.

Voor het structureel beheer van privacy zetten we onze Privacy Officer in. Voor wettelijk onafhankelijk toezicht onze FG.

Meer over PO dienstverlening
Meer over PO dienstverlening
Meer over FG dienstverlening
Meer over FG dienstverlening 
Let op: Rethink Security geeft geen juridisch advies. Voor specifieke juridische vraagstukken werken we samen met gespecialiseerde privacy-juristen.
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • Een FG is verplicht als je een publieke organisatie bent, als je kernactiviteit bestaat uit grootschalige regelmatige monitoring van mensen, of als je kernactiviteit grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, religie, etc.) betreft. In andere gevallen kun je vrijwillig een FG aanstellen.

  • De verwerkingsverantwoordelijke bepaalt het doel en de middelen van een verwerking. De verwerker voert de verwerking uit in opdracht van de verantwoordelijke. Een SaaS-leverancier is meestal verwerker, zijn klant is verantwoordelijke. De afspraken tussen beiden leg je vast in een verwerkersovereenkomst.

  • Binnen 72 uur na ontdekking moet je een datalek melden bij de Autoriteit Persoonsgegevens, tenzij het waarschijnlijk geen risico oplevert voor de betrokkenen. Bij hoog risico moet je ook de betrokkenen zelf informeren.

  • Nee. Toestemming is één van zes mogelijke grondslagen. Voor veel verwerkingen geldt een andere grondslag, bijvoorbeeld 'uitvoering van een overeenkomst' (verwerken van klantgegevens om je dienst te leveren) of 'wettelijke verplichting' (loonadministratie). Vraag alleen toestemming als geen andere grondslag past.

  • Een Privacy Officer is een uitvoerende rol: die doet het privacybeheer. Een FG is een toezichthoudende rol met wettelijke onafhankelijkheid. De FG ziet erop toe dat de organisatie de AVG naleeft; de Privacy Officer zorgt dat het privacybeheer in de praktijk gebeurt. Beide rollen kunnen naast elkaar bestaan.

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om je privacybeheer op orde te brengen?

In een eerste gesprek bekijken we waar je staat en welke rollen of trajecten passen: een Privacy Officer, een FG, of een combinatie. 

Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.
Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.