Overtreding

Algemene verordening gegevensverwerkingZodra een organisatie de Algemene Verordening Gegevensbescherming (AVG) overtreedt, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet (wereldwijd).

Er zijn twee categorieën overtredingen:

  • Organisaties die persoonsgegevens verwerken, hebben onder de AVG bepaalde verplichtingen zoals de verantwoordingsplicht.
    Komt een verantwoordelijke deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet.
  • Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacy rechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?
    Dan kan de AP een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Vanaf 25 mei 2018 zal deze verordening gehandhaafd gaan worden.

Van toepassing

De AVG is van toepassing op het bewerken/verwerken en opslaan van persoonlijk herleidbare informatie
Voorbeelden:

  • Adresgegevens
  • E-mailadres(sen), ook zakelijk
  • IP-adres
  • IBAN
  • BSN
  • Legitimatiebewijs
  • Foto ter identificatie
  • Medische gegevens
  • Financiële gegevens
  • Etnische gegevens

Begrippen

  • Betrokkene; een natuurlijk persoon van wie er persoonlijke herleidbare informatie wordt verwerkt
  • Verwerkingsverantwoordelijke; een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
  • Verwerker; een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verplichtingen

privacy-waarborgen– Vastleggen per categorie:

  • Welke gegevens worden bewerkt, verwerkt en/of opgeslagen
  • Voor welk doel gegevens worden bewerkt, verwerkt en/of opgeslagen
  • Waar gegevens vandaan komen en worden bewerkt, verwerkt en/of opgeslagen
  • Door wie gegevens worden bewerkt, verwerkt en/of opgeslagen
  • Wie heeft toegang tot de gegevens (denk ook aan beheerders van ICT systemen en back-ups)
  • Bewaartermijn van de opgeslagen gegevens

– Voldoen aan de rechten van individu (betrokkene):

  • Inzage in welke gegevens worden/zijn verwerkt en/of opgeslagen
  • Correctie van de verwerkte en/of opgeslagen gegevens
  • Verwijdering van de verwerkte en/of opgeslagen gegevens
  • Toestemming intrekken, net zo makkelijk als toestemming gegeven is
  • Data portabiliteit, eenvoudig elektronisch opvraagbaar en mee te nemen

– Wettelijke grondslag; aantoonbaar toestemming van betrokkene of gerechtvaardigd belang

– Documentatieplicht, register van alle verwerkingsactiviteiten bijhouden

– Beschermingsplicht, passende technische en organisatorische beveiligingsmaatregelen treffen

– Verantwoordingsplicht, aantonen dat u in overeenstemming met de AVG handelt

– Verwerkersovereenkomst met derden (bijvoorbeeld leveranciers van diensten)

– Functionaris Gegevensbescherming (FG) (Data Protection Officer – DPO)

– Data Protection Impact Assessment (DPIA), alleen verplicht bij hoog privacy-risico of grootschalige verwerking

– ‘Privacy by design en default’, niet méér persoonsgegevens verwerken dan nodig is voor het doel

– Meldplicht datalekken; datalekken moeten worden gemeld bij de Autoriteit Persoonsgegevens en in bepaalde gevallen ook bij betrokkenen

– Opstellen procedure hoe te handelen bij datalek

Beveiliging

AVG-GDPRDe verwerkingsverantwoordelijke dient, rekening houdend met onder andere de stand van techniek, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Waar passend moeten die, onder meer, het navolgende omvatten:

  • Versleuteling of pseudonimisering van de persoonsgegevens;
  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van de toegang tot persoonsgegevens tijdig te herstellen;
  • Een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

Voorwaarden gegevensverwerking

Doel
Gegevens mogen alleen verzamelt en verwerkt worden als de verwerkingsverantwoordelijke een uitdrukkelijk omschreven doel heeft omschreven en deze vooraf kenbaar maakt aan betrokkene.

Minimale verwerking
Er mogen niet meer gegevens verzamelt en verwerkt worden dan strikt noodzakelijk is voor het doel waarvoor ze verwerkt worden.

Bewaartermijn
De gegevens mogen niet langer worden bewaard dan nodig is. De bewaartermijn moet tevens vooraf aan betrokkene kenbaar gemaakt worden.

Beveiliging
De verwerkingsverantwoordelijke moet passende maatregelen nemen om de verzamelde en verwerkte gegevens te beschermen. Zowel ICT gerelateerd als organisatorisch.

 

 

De AVG is een uitvoerig onderwerp. Om u niet te overladen met informatie, hebben we er voor gekozen het kort te houden op onze website. We hebben de belangrijkste punten, die gelden voor een gemiddelde onderneming, voor u uitgelicht.

Wilt u meer weten over AVG compliancy? Wij komen graag langs voor een vrijblijvend, informatief gesprek.
Bel 075 3030 550 of vul het contactformulier in.

 

Bekijk ook de website van de Autoriteit Persoonsgegevens