De impact van de AVG voor organisaties. Waarom is certificering interessant?

AVG - GDPR

AVG

Op 25 mei was het zover, van af toen is de Algemene verordening gegevensbescherming (AVG) van toepassing (internationaal de GDPR, General Data Protection Regulation). Dat betekent dat er sinds die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). Bedrijven moeten sinds dien voldoen aan de AVG. Maar wat betekent dit nou concreet voor organisaties? Wat zijn de belangrijkste veranderingen voor organisaties? Wat zijn de risico’s rondom de AVG? En wat is het voordeel om gecertificeerd te zijn? Kortom, wat is de impact van de AVG?

Waarom de impact van AVG?

De digitalisering in de samenleving en economie brengt veel voordelen met zich mee zoals Big Data en The Internet of Things. Helaas zijn er ook nadelen zoals de kans op identiteitsfraude, datalekken, cybercrime enz. Persoonlijke gegevens worden online massaal gedeeld, met vrienden, maar ook met bedrijven. Wat gebeurt er bij deze bedrijven met uw persoonsgegevens? Dat is niet altijd even helder wat de impact is en dat is waar het om draait bij de AVG. In Nederland kenden we al de Wet bescherming persoonsgegevens (Wbp) en zo hebben alle landen in de Europese Unie een eigen wetgeving welke vervangen zal worden door de AVG.

Kort samengevat is de wet een geheel van regels om de gegevens van de Europese burgers beter te beschermen. Waar men voorheen de persoonsgegevens mocht verwerken, tenzij de persoon in kwestie zich er uitdrukkelijk tegen verzet had, mag dat nu niet meer. Onder de nieuwe verordening mogen de persoonsgegevens enkel nog verwerkt worden indien daar een rechtmatige grondslag voor bestaat of toestemming voor is gegeven.

De AVG geldt voor alle organisaties die persoonsgegevens verwerken van personen binnen de EU en geldt dus ook voor kleine organisaties als mkb’ers en zzp’ers.

Wat betekent de AVG concreet voor organisaties?

Onder de nieuwe verordening mogen de persoonsgegevens enkel nog verwerkt worden indien daar een rechtmatige grondslag voor bestaat of toestemming voor is gegeven. De betrokken particuliere persoon heeft op elk moment het recht om zijn of haar persoonsgegevens te raadplegen, te laten corrigeren en zelfs om helemaal vergeten te worden. Op elk moment mag men dergelijke eisen stellen. U bent dan verplicht inzage te geven in persoonsgegevens die u verwerkt en ze desgewenst aan te passen of helemaal te wissen.

U mag persoonsgegevens verwerken (grondslagen AVG):

  1. Als er toestemming is van de betrokken persoon.
  2. Als er een overeenkomst is waarvoor gegevensverwerking noodzakelijk is.
  3. Als er een wettelijke verplichting is waarvoor gegevensverwerking noodzakelijk is.
  4. Als de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. Als de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. Als de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Neem verantwoording voor de impact

De AVG legt meer nadruk op de verantwoordelijkheid van uw organisatie om aan te tonen dat u zich aan de wet houdt. De verantwoordingsplicht houdt in dat u met documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. U bent als organisatie verplicht om organisatie breed aan te kunnen tonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u deze beveiligt. Globaal gezien wil de nieuwe verordening zeggen dat uw organisatie de processen, datastromen, maar ook de registratie dient: uit te schrijven, te documenteren en mogelijk aan te passen.

De mogelijkheden om aan deze verantwoordingsplicht te voldoen:

  1. U maakt volledig transparant welke persoonsgegevens u verwerkt (wie er betrokken is bij de verwerking en wat de risico’s zijn?)zodat u zelf bij de autoriteit persoonsgegevens kan aantonen aan de AVG voldoet.
  2. U kunt uw organisatie laten controleren op een door de Autoriteit Persoonsgegevens goedgekeurde gedragscode voor uw branche. Hiervoor moet een collectieve gedragscode voor worden aangevraagd waarbij de manier van de verwerking van persoonsgegevens wordt onderbouwd.
  3. U laat zich als bedrijf AVG certificeren door een onafhankelijk auditbureau

Wat zijn de risico’s als u niet aan de AVG voldoet?

Overtreedt een organisatie straks de Algemene verordening gegevensbescherming? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes:

  1. Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben een verantwoordingsplicht. Kan uw organisatie niet aantonen dat u aan de wet voldoet dan kan de AP een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet van uw organisatie.
  2. Overtreedt een verantwoordelijke de grondslagen van de AVG of de privacy rechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan riskeert u een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Waarom is een certificering interessant?

Een certificeringsstandaard biedt houvast om te kunnen voldoen aan de AVG. Het vertaalt de complexe materie naar praktische en vooral helder implementeerbare procedures en maatregelen. Nadat de standaard van A tot Z is geïmplementeerd binnen uw organisatie kan er een onafhankelijke toetsing plaats vinden door een auditor. Na een positief resultaat krijgt uw organisatie een certificaat dat aantoont dat uw organisatie voldoet aan de vereisten die door de AVG worden opgelegd.

De voordelen van certificering op een rij:

  1. Als leverancier of gegevensverwerker zal u de vraag krijgen of u AVG proof bent. Met het certificaat biedt u zekerheid en vertrouwen voor uw klanten en leveranciers, wat uw concurrenten wellicht niet direct of zo eenvoudig kunnen bieden.
  2. Met één certificaat toont u aan dat u aan de AVG eisen voldoet. U hoeft niet iedere keer alles te tonen.
  3. U toont actief aan dat u voldoet aan de AVG, wat goed is voor uw imago.
  4. Het risico van een boete wordt geminimaliseerd doordat u bij de Autoriteit Persoonsgegevens kan aantonen dat u voldoet aan de AVG.

Waar staat uw organisatie momenteel t.o.v. de AVG impact?

Nu duidelijk is wat de impact is van de AVG voor organisaties bent u waarschijnlijk benieuwd waar u zelf als organisatie staat ten aanzien van de AVG. Brand Compliance heeft een expertteam van auditoren die met een nulmeting uw organisatie doorlichten. U krijgt een uitgebreid rapport met daarin de concrete acties die u nog moet uitvoeren om volledig te voldoen. Advisering omtrent de verdere implementatie is eveneens mogelijk.

Nog niet toe aan een nulmeting, maar wel graag constructief aan de slag? Dan biedt de certificatiestandaard houvast. Een standaard met een managementsysteem benadering, een raamwerk waarmee uw organisatie op een systematische wijze invulling kan geven aan de eisen van de AVG en de verantwoordingsplicht.

Training

Uitleg over de privacywet? Uw organisatie AVG/ GDPR compliant maken? Hulp nodig bij implementatie? Meld u aan voor de AVG/ GDPR training van Brand Compliance.

LinkedIn Group

Discussieer mee op LinkedIn.

Samenvatting
De impact van de AVG voor organisaties. Waarom is certificering interessant?
Artikel
De impact van de AVG voor organisaties. Waarom is certificering interessant?
Beschrijving
De digitalisering in de samenleving en economie brengt veel voordelen met zich mee. Helaas zijn er ook nadelen zoals de kans op identiteitsfraude, datalekken, cybercrime enz. Persoonlijke gegevens worden online massaal gedeeld. Wat gebeurt er met uw persoonsgegevens? Dat is waar het om draait bij de AVG.
Auteur
Publisher Naam
ITpedia
Publisher Logo

Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.

Laatste artikelen

Sidebar