Geschatte leestijd: 7 minuten
Wat is de AVG / GDPR?
De Algemene Verordening Gegevensbescherming (AVG / GDPR) is Europese regelgeving die gericht is op privacy en het beschermen van persoonsgegevens.
Op deze vragen gaan we antwoord geven in dit artikel:
- Heeft de AVG / GDPR impact op mijn branche?
- Hoe zet ik de eerste stap om compliant te worden?
- Wat doe ik met mijn juridische documenten?
Op welke branches heeft de AVG / GDPR impact?
De AVG / GDPR heeft impact op ieder bedrijf dat persoonsgegevens verzamelt in de Europese Unie. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de gehele EU. De restricties treffen alleen persoonsgegevens en niet bedrijfsgegevens. Op dit moment is er sprake van een overgangsperiode en is de Wbp (Wet bescherming persoonsgegevens) actief.
De primaire vragen die de AVG / GDPR met zich meebrengt:
- De grondslag; wanneer mag ik persoonsgegevens verzamelen? Er zijn 6 mogelijke grondslagen, waarbij je altijd aan één grondslag moet voldoen. Enkele grondslagen zijn; toestemming van de betrokkene (bij een website bijvoorbeeld een bezoeker), de gegevensverwerking is noodzakelijk voor de uitvoering van een juridische overeenkomst of voor het nakomen van een wettelijke verplichting, er is sprake van vitale belangen (denk aan levensbedreigende situaties).
- Zorgvuldigheid; hoe borg je privacy in ieder bedrijfsproces van begin tot eind? Denk hierbij aan het aanstellen van een functionaris gegevensbescherming, privacy by design en een impact assessment.
- De verplichtingen; welke technische en organisatorische maatregelen moet ik treffen? Het is volgens de AVG / GDPR verplicht om een register met alle verwerkingen bij te houden, beschikbaar te stellen en een gegevensbeschermingsbeleid op te stellen. Daarnaast moeten verzamelde gegevens beveiligd worden aan de hand van de risico’s die de gegevensverwerking met zich meebrengt.
- Controle; wat zijn de rechten van de betrokkenen? Betrokkenen hebben het recht om gegevens in te zien, te wijzigen, vergeten te worden, om gegevens over te dragen en het recht op algemene informatie. In welk format dit moet gebeuren, is vooralsnog niet geheel duidelijk.
De AVG / GDPR is niet altijd duidelijk en exacte grenzen zullen ontstaan uit komende jurisprudentie. Hierdoor is het cruciaal om bij ieder aspect van de AVG / GDPR gezond verstand te gebruiken voor de verantwoording van dataverzameling en dit gestructureerd te documenteren.
Hoe zet ik de eerste stap om compliant te worden?
Dit kun je doen door een concreet stappenplan te maken voor jouw organisatie en vervolgens gefaseerd uit te voeren. Dit kun je zelf doen op basis van bestaande bronnen, of je kunt een expert vragen om jou te begeleiden om AVG / GDPR compliant te worden. De Autoriteit Persoonsgegevens biedt zelf een stappenplan aan waar je vandaag al mee kunt starten.
De eerste stap om compliant te worden, begint met bewustwording in juiste onderdelen van de organisatie. Misschien moet jij als marketeer die a-technische directeur uitleggen wat de AVG / GDPR allemaal met zich meebrengt. Feitelijke informatie uit de wet en een dergelijk stappenplan gaan je hierbij helpen.
De noodzakelijke AVG / GDPR implementaties stoppen niet bij een simpele impliciete cookie consent. Dit kan in de organisatie veel tijd of andere resources vergen, afhankelijk van of je IT uitbesteedt. Maak dus een duidelijke planning met je collega’s om structuur in het proces aan te brengen en geen onnodige stress te veroorzaken.
Wat doe ik met mijn juridische documenten?
De komst van AVG / GDPR heeft ook invloed op je juridische documenten. In sommige gevallen heb je nieuwe documenten nodig of moeten bestaande documenten worden aangepast en opnieuw vertaald worden. Dit kan bijvoorbeeld resulteren in:
- Nieuwe AVG / GDPR documenten opstellen en vertalen, bijvoorbeeld een register met alle verwerkingen en een gegevensbeschermingsbeleid.
- Het opnieuw laten opstellen en laten vertalen van je algemene voorwaarden (de hoofdelijke overeenkomst die je aangaat met een bedrijf).
- Het opstellen en laten vertalen van een verwerkersovereenkomst (deze overeenkomst is nodig als je gegevensverwerking uitbesteedt aan een verwerker).
- Het herzien en laten vertalen van een privacybeleid (wat doe je met de gegevens die je verzamelt).
- Het herzien en laten vertalen van een cookiestatement (welke cookie technologieën je gebruikt en welke cookies je plaatst).
Welke stappen je kunt hanteren om jouw meertalige juridische documenten op orde te krijgen:
- Inventariseer al je bestaande juridische documenten en kijk samen met een expert of deze nog voldoen volgens de AVG / GDPR.
- Check aan de hand van deze algemene bron van de Autoriteit Persoonsgegevens of je inventarisatie compleet is en welke elementen je gaat benoemen in ieder document.
- Inventariseer welke nieuwe documenten moeten worden opgesteld en laat deze opstellen door een jurist en vertalen door een professioneel vertaalbureau.
- Maak op jouw website een centrale pagina met links naar alle relevante juridische documenten en plaats deze ook duidelijk ergens in de navigatie. Op deze manier ben je transparant naar je bezoekers.