De AVG legt een aantal concrete verplichtingen op aan organisaties die persoonsgegevens verwerken, waaronder:
- Het hebben van een privacybeleid;
- Het voldoen aan een informatieplicht;
- Het hebben van een verwerkingsregister;
- Het hebben van een datalekregister;
- Het tijdig beoordelen en melden van (meldplichtige) datalekken aan de toezichthouder en eventueel betrokkene(n);
- Het – indien van toepassing – sluiten van verwerkersovereenkomsten met verwerkers;
- In een aantal gevallen: het aanstellen van een functionaris gegevensbescherming en het uitvoeren van “gegevensbeschermingseffectbeoordelingen” (DPIA‘s).
- Het hebben van toereikende beveiliging van persoonsgegevens;
- Het voldoen aan verzoeken van betrokkenen (o.a. met betrekking tot hun recht op informatie, vergetelheid; dataportabiliteit en beperking van de verwerking);
- Het tijdig vernietigen van gegevens die over de “houdbaarheidsdatum” zijn.
Om aan de AVG te kunnen voldoen zal er binnen de organisatie inzicht moeten bestaan in de gegevensverwerkingen die worden uitgevoerd. Ook zal het opslaan en het bewaren van gegevens in kaart moeten worden gebracht (zie verder vraag 5). Administratief moet er dus flink wat gebeuren maar ook in organisatorisch opzicht vraagt de AVG het nodige.
Als de organisatie bijzondere persoonsgegevens verwerkt (zoals medische gegevens) dan gelden aanvullende regels / extra beperkingen (zie verder vraag 3).
1. Wat is de AVG (Algemene verordening gegevensbescherming)?
2. Wat moet ik concreet doen onder de AVG?
3. Wat is een verwerker? En wat is een verwerkingsverantwoordelijke?
4. Is een register van verwerkingen altijd vereist? En wat moet ik in zo’n register opnemen?
5. Is de AVG van toepassing op ZZP-ers?
6. Welke rechten hebben de personen van wie ik gegevens verwerk onder de AVG?
7. Wat zijn persoonsgegevens? En wat zijn bijzondere persoonsgegevens?
8. Wat is een datalek en hoe moet ik een datalek melden?
9. Als ik een datalek meldt, staat de toezichthouder (Autoriteit Persoonsgegevens) dan direct bij me op de stoep?
10. Wat moet ik opnemen in een datalekregister?
Neem contact op