AVG-update voor werkgevers
Wist jij dat de bescherming van persoonsgegevens een grondrecht is? Mensen hebben met de komst van de Algemene Vordering Gegevensbescherming (AVG) sterkere en meer uitgebreide privacy rechten gekregen. Je mag voor jezelf opkomen op het gebied van de verwerking van je persoonsgegevens. Vermoed jij dat je persoonsgegevens misbruikt worden, of denk je dat je gegevens betrokken zijn bij een datalek? Dan kun je sneller en makkelijker juridische stappen ondernemen. In deze blog lees je wat de AVG ook alweer inhoudt, waar het voor dient en hoe de AVG in de praktijk wordt beleefd.
Wat houdt de AVG ook alweer in?
AVG staat voor de Algemene Vordering Gegevensbescherming. Deze privacywetgeving geldt voor de hele Europese Unie (EU) en is sinds 25 mei 2018 ingesteld. In het Engels wordt dit ook wel de GDPR, General Data Protection Regulation genoemd. De AVG is in de plaats van 28 verschillende nationale privacywetten binnen de EU gekomen. Met de komst van de AVG is de Wet bescherming persoonsgegevens (Wpb) in Nederland ongeldig verklaard. Met de komst van de AVG hebben personen meer privacy rechten gekregen.
Organisaties die met persoonsgegevens werken hebben meer verantwoordelijkheid gekregen om verantwoord met de gegevens om te gaan. Toezichthouders op de naleving van de AVG hebben meer bevoegdheden gekregen om de wet te toetsen in de praktijk.
Waar dient de AVG voor en welke maatregelen worden er genomen?
De AVG dient nageleefd te worden door alle bedrijven, verenigingen en stichtingen die persoonsgegevens verzamelen en verwerken. Het verwerken van privacygevoelige informatie dient rechtmatig te gebeuren. Om de gegevens van personen te beschermen, hebben toezichthouders meer vrijheid gekregen om bedrijven, verenigingen en stichtingen te controleren. In Nederland is de Autoriteit Persoonsgegevens (AP) aangesteld als privacy autoriteit. De AP is bevoegd om boetes van miljoenen euro’s uit te delen aan organisaties die zich niet aan de AVG houden.
Er dienen zowel technische als organisatorische maatregelen te zijn genomen om aan de AVG te voldoen. Denk bij de technische maatregelen aan het beveiligen van de software waar de persoonsgegevens in verwerkt worden, back-ups, twee factor authenticatie en het versleutelen van alle data. De organisatorische maatregelen houden de richtlijnen binnen de bedrijven, verenigingen en stichtingen in. De werknemers dienen bijvoorbeeld getraind te worden om verantwoord en veilig met de persoonsgegevens om te kunnen gaan. Beide maatregelen zorgen ervoor dat datalekken in de toekomst voorkomen kunnen worden en er geen misbruik wordt gemaakt van de persoonsgegevens.
Op welke manier wordt de AVG nu beleefd?
De eerste AVG-boete is in juli 2019 uitgedeeld door de AP. Nu, drie jaar na het invoeren van de AVG, zijn er ruim 600 boetes uitgedeeld, die bij elkaar opgeteld goed zijn voor 283 miljoen euro. De hoogste boete die is uitgeschreven was voor Google en betrof 50 miljoen euro. In Nederland valt de hoogte van de boetes mee. Geen enkele organisatie heeft in Nederland meer dan 1 miljoen euro boete hoeven betalen.
Vooral bedrijven die met vingerafdrukken en kredietregistratie werken, gemeenten en één ziekenhuis hebben de boete ontvangen. De boetes in Nederland zijn gegeven voor datalekken, privacyschending, ongeoorloofd digitaal volgen van personen en doordat medewerkers bijvoorbeeld in de dossiers van patiënten hadden gekeken in het ziekenhuis.
Om de boetes te voorkomen en door de keuringen van de AP te komen, dienden bedrijven hun beleid rondom het verwerken van persoonsgegevens aan te passen. Er dienden strengere werkprocessen opgesteld te worden. Het personeel diende extra trainingen omtrent bewustwording rondom privacywetgeving te volgen. Nu de meeste bedrijfsprocessen na 3 jaar geëvolueerd zijn tot volwaardige AVG-proof werkprocessen, worden er nu minder boetes uitgedeeld. Organisaties weten beter waar zij rekening mee dienen te houden en mogelijke datalekken worden sneller gemeld om grotere problemen te voorkomen.
Enkele tips om aan de AVG te voldoen
Allereerst is het belangrijk dat je kunt aantonen dat je aan de AVG voldoet. Dit doe je door de naleving van de AVG te documenteren in een actief bijgehouden verwerkings- en incidentenregister. Transparantie staat voorop. Zorg er dus voor dat je alle betrokkenen op de hoogte houdt. Informeer personen op welke manier, waarom, wanneer en door wie hun persoonsgegevens verwerkt worden. Al deze informatie kun je vastleggen in een privacy statement. Is er sprake van een datalek? Dan dien je zowel de AP als de betrokkenen in te schakelen, want ook dat valt onder transparantie
Laat je de persoonsgegevens die verwerkt worden door een externe partij verwerken? Dan dient er een verwerkingsovereenkomst opgesteld te worden. Samenwerken mag, maar op grond van de AVG moet er wel vastgelegd worden hoe jullie met mogelijke datalekken omgaan en is het handig om een draaiboek voor datalekken samen te stellen. Daarnaast dienen de persoonsgegevens goed beveiligd te worden.
De beveiliging is van belang tegen verlies, vernietiging, wijziging of ongeoorloofde toegang tot de persoonsgegevens. Wil je de AVG te allen tijde tot uiting laten komen binnen je organisatie? Stel dan een Functionaris voor de Gegevensbescherming (FG) aan. Je zou de FG ook kunnen inhuren om orde op zaken te stellen.