Is mijn organisatie AVG-compliant?

Privacy en de omgang met persoonsgegevens wordt steeds belangrijker. Het is van belang dat organisaties op de juiste wijze omgaan met persoonsgegevens van anderen. Gebeurt dat niet, dan kan dat leiden tot een datalek. In sommige gevallen komt in het nieuws dat een organisatie zich niet aan de privacywetgeving houdt of wordt zelfs een boete opgelegd. Organisaties zijn wettelijk verplicht om de regels uit de Algemene verordening gegevensbescherming (AVG) na te leven. De AVG legt vast hoe organisaties moeten omgaan met persoonsgegevens.

De AVG geldt voor alle organisaties. De reden is simpel: vrijwel elke organisatie verwerkt persoonsgegevens. Denk aan de gegevens van eigen medewerkers, maar natuurlijk ook van klanten en websitebezoekers.

Beginselen

• Rechtmatigheid, behoorlijkheid en transparantie
  Het moet voor een betrokkene duidelijk zijn welke persoonsgegevens van hem of haar worden verwerkt. De communicatie hierover moet begrijpelijk zijn en het verwerken van persoonsgegevens mag niet in strijd zijn met de wet.

• Doelbinding
  De persoonsgegevens mogen alleen voor een bepaald doel worden gebruikt.

• Dataminimalisatie
  Verwerk zo min mogelijk persoonsgegevens. Voor het versturen van een nieuwsbrief is het bijvoorbeeld voldoende om alleen een e-mailadres te hebben. Het is niet nodig om te weten waar de nieuwsbriefontvanger woont.

• Juistheid
  Alle persoonsgegevens die binnen een organisatie worden verwerkt, moeten juist zijn. Kom je erachter dat gegevens van een klant onjuist zijn, dan moeten de gegevens aangepast worden.

• Opslagbeperking
  Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Is er een wettelijke bewaartermijn? Dan dien je je daaraan te houden. In andere gevallen mag je zelf een bewaartermijn vaststellen.

• Integriteit en vertrouwelijkheid
  Alle organisaties moeten passende beveiligingsmaatregelen treffen om ervoor te zorgen dat de gegevens voldoende beveiligd zijn

Grondslagen

Een organisatie mag alleen persoonsgegevens verwerken als daar een wettelijke grondslag voor is. In de AVG staan zes grondslagen:

• Toestemming
• Uitvoering van de overeenkomst
• Wettelijk verplichting
• Vitale belang
• Algemeen belang
• Gerechtvaardigd belang

Informatieplicht

Het informeren over welke persoonsgegevens een organisatie verwerkt, gebeurt via een privacyverklaring. Het is gebruikelijk om de privacyverklaring op de website te publiceren. In dat document legt een organisatie uit voor welke doeleinden de persoonsgegevens nodig zijn, welke persoonsgegevens worden verwerkt, op basis van welke grondslag dat gebeurt en hoelang de gegevens bewaard blijven. Ook is het verplicht om uit te leggen welke rechten betrokkenen hebben, en naar welke derde partijen de gegevens worden doorgestuurd.

Rolverdeling en afspraken met andere partijen

Organisaties maken gebruik van allerlei softwarepakketten en systemen. Denk aan een HR- of CRM-systeem, of een boekhoudpakket. Een ander voorbeeld is het gebruik van beveiligingscamera’s op kantoor of in een magazijn. Met de leveranciers die dergelijke systemen of pakketten leveren, moeten afspraken worden gemaakt. De leveranciers verwerken namelijk persoonsgegevens. De afspraken over de omgang met persoonsgegevens worden vastgelegd in een verwerkersovereenkomst.

Datalekken

Wanneer er inbreuk wordt gemaakt op de beveiliging van persoonsgegevens is er sprake van een datalek. Medewerker A heeft per ongeluk de salarisstrook van medewerker B ontvangen, of een orderbevestiging van klant C is naar klant D verstuurd. In dat soort gevallen is het belangrijk dat een organisatie snel handelt. De fout moet hersteld worden, het datalek moet intern geregistreerd worden. Misschien is het zelfs verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens en de betrokkene(n).

Sommige organisaties zijn wettelijk verplicht om een functionaris gegevensbescherming (FG) aan te stellen. De FG informeert en adviseert over de omgang met persoonsgegevens. Daarbij neemt de FG een onafhankelijke positie in.   

Onderstaande organisaties zijn verplicht om een FG aan te stellen:

• Overheidsorganen
• Organisaties die belast zijn met stelselmatige observatie
• Organisaties die op grote schaal bijzondere persoonsgegevens verwerken

Ook voor organisaties die niet onder een van deze categorieën vallen, is het raadzaam om een FG aan te stellen. Dit om privacy te waarborgen.

De Autoriteit Persoonsgegevens (AP) is in Nederland toezichthouder op het gebied van privacy. De AP is bevoegd om organisaties aan te spreken wanneer niet in overeenstemming met de AVG wordt gehandeld. Ook heeft de AP de mogelijkheid om een boete op te leggen. Logischerwijs willen organisaties geen boete ontvangen vanwege de financiële schade. Maar organisaties vergeten vaak dat reputatieschade misschien nog veel erger is. Om welke schade dan ook te voorkomen doen organisaties er goed aan om AVG-compliant te zijn en te blijven.